En af de nyeste ondsindede angreb, der nemt kan blive en stor trussel involverer fordelingen af en orm til visse besøgende. Ormen vil derefter inficere hjem routere og vil tilføje dem til en bestemt botnet.
Detaljer om angrebet:
- Forskning viser, at mindst fem dating websites sandsynligvis er involveret i angrebsscenarie vi lige har beskrevet.
- Ormen er identificeret som en variant af TheMoon - en trussel, der blev opdaget og analyseret af Damballa forskere i februar 2014. TheMoon er designet til at udnytte de svage punkter i hjemmenetværket Administration Protocol.
Beskrivelse af angreb
TheMoon blev analyseret ved SANS Institute. Her er deres analyse.
For at implementere ormen, ondsindede aktører i øjeblikket bruger dating sider, hvor infektionen sker via en to-trins proces startede med et ondsindet ramme indlejret på siden.
Hvordan fungerer iframe arbejde? Det gør anden URL opkald at afgøre, om routeren kører HNAP protokol. Den iframe kontrollerer også om routeren bruger 192.168.1.1 til routeren ledelse og gateway-IP.
Hvad er 192.168.1.1?
192.168.l.l ip adresse er ledelsen panel adressen på en ADSL (Asymmetric Digital Subscriber Line) modem. Virksomheder, der gør modemenheder belastning opdateret software til det, så det nemt administreres af brugere. Takket være denne software, brugere kan nemt konfigurere nye indstillinger ved at nå deres forvaltning panel, hvis, for eksempel, de står over Internet forbindelsesproblemer.
Efter 192.168.1.1 kontrol er færdig, iframe ’kalder hjem’ og deler de oplysninger, den har opdaget. Dette er, når den anden fase af angrebet sker: en anden webadresse er lagt i iframe. Som et resultat, nyttelasten - TheMoon orm - leveres, sammen med en Linux ELF binær.
Når ormen er installeret, det vil forhindre brugere i at anvende nogle af routerens indgående porte. Det kan også åbne udgående porte og bruge dem til at sprede sig til andre routere.
Den botnet Infrastruktur
Hvad med botnet vi nævnte i starten? Når ormen først blev opdaget, Det blev ikke rapporteret til at have en kommando og kontrol-infrastruktur. I øjeblikket, botnettet må kun i dens faser udvikling eller afprøvning og det absolut repræsenterer et forsøg på at opbygge en bredere infrastruktur.
Daballa forskere, der først opdagede truslen, tror at:
Der er forskellige scenarier for, hvordan de kriminelle kunne bringe deres ofre til at besøge en påvirket hjemmeside via malvertising, udnytte kits eller phishing e-mail. De kriminelle flyttet fra scanning IP-områder for potentielle sårbare hjem routere til indlejring angrebet på en hjemmeside. Det føles som denne konvertering til et web-baseret angreb er ny og under konstruktion.
Desuden, Forskerne identificerede ejeren af dating sites, der anvendes til at sprede ormen. Men, de mener, at hans identitet blev stjålet, og at han ikke er ejer af botnet. Også, i de første ondsindede kampagner i 2014, mest berørt af ormen var modeller af Linksys Dlink routere.
I øjeblikket, eksperter rapporterer, at den nyeste version af TheMoon ikke registreres af antivirus produkter.