Eine unbekannte Hacking-Gruppe nutzt eine bisher unbekannte Malware namens Ttint, die als IoT-spezifischer Trojaner eingestuft ist. Wir wissen, dass die Hacker-Entwickler zwei Zero-Day-Schwachstellen verwenden, um in die Zielgeräte einzudringen. Die Sicherheitsanalyse hat zu einer Untersuchung geführt, Auf diese Weise werden die Schwächen in zwei veröffentlichten Empfehlungen aufgezeigt: CVE-2018-14558 und CVE-2020-10987. Aus den aufgenommenen Proben, Es scheint, dass die Malware auf Mirai-Code basiert.
CVE-2018-14558 & CVE-2020-10987 Wird als Mechanismus zur Bereitstellung des Ttint IoT-Trojaners verwendet
Ein neuer und gefährlicher IoT-Trojaner greift Geräte weltweit an. Nach der veröffentlichten Code-Analyse, Es basiert auf dem Mirai-Code und wurde von einer unbekannten Hacking-Gruppe entwickelt. Wie bei anderen Viren dieser Kategorie wird automatisch versucht, bei einer einzelnen Infektion in andere ähnliche Hosts einzudringen, Dadurch entsteht ein großes Botnetz-Netzwerk. Aus diesem Grund, Solche Angriffskampagnen gelten als sehr effektiv, wenn die richtige Konfiguration und die richtigen Ziele festgelegt wurden.
Infiltrationen mit dieser speziellen Malware erfolgen nach dem typischen Ansatz von direkte Netzwerk-Angriffe — Die Hacker verwenden automatisierte Frameworks, die mit den erforderlichen Sicherheitslücken geladen sind. Wenn die Zielnetzwerke nicht gepatcht sind, treten die Infektionen automatisch auf. Einer der Gründe, warum diese Eingriffe als kritisch für ihr Schadenspotential angesehen wurden, ist, dass die Schwächen als gekennzeichnet wurden “Zero-Day”, Sie waren vor den Infektionen unbekannt.
Die ersten Angriffe wurden festgestellt im November 2019, als der Ttint IoT-Trojaner gegen Tenda-Router-Besitzer gestartet wurde. Diese erste Instanz nutzte die beiden Sicherheitslücken und die Veröffentlichung erfolgte im Juli 2020. Die zweite Angriffswelle wurde im August durchgeführt 2020, wieder gegen Tenda Geräte. Der Ttint-Trojaner konzentriert sich auf die Verwendung dieser beiden Hinweise:
- CVE-2018-14558 — Auf Tenda AC7-Geräten mit Firmware über V15.03.06.44_CN wurde ein Problem festgestellt(AC7), AC9-Geräte mit Firmware bis V15.03.05.19(6318)_CN(AC9), und AC10-Geräte mit Firmware bis V15.03.06.23_CN(AC10). Eine Befehlsinjektionsanfälligkeit ermöglicht es Angreifern, beliebige Betriebssystembefehle über eine gestaltete goform / setUsbUnload-Anforderung auszuführen. Dies liegt daran, dass die “formsetUsbUnload” Funktion führt eine dosystemCmd-Funktion mit nicht vertrauenswürdiger Eingabe aus.
- CVE-2020-10987 — Der goform / setUsbUnload-Endpunkt der Tenda AC15 AC1900-Version 15.03.05.19 Ermöglicht Remoteangreifern die Ausführung beliebiger Systembefehle über den Parameter deviceName POST.
Nach den verfügbaren Informationen richten sich die meisten Angriffe gegen Opfer in Südamerika.
Ttint IoT-Trojaner-Funktionen
Der Tting Iot-Trojaner basiert auf Mirai und enthält als solcher eine ähnliche Infektionssequenz. Es beinhaltet zwar den gleichen verteilten Denial-of-Service-Ansatz, Die Hacker haben auch eine zusätzliche implementiert 12 Steueranweisungen.
Wenn die Infektion auf den betroffenen Computern ausgeführt wird, ist eine der ersten Aktionen: verstecke die Virenspuren von erkannt werden. Dies erfolgt durch Überwachung des Betriebssystems mit dem Ziel, nach installierten Sicherheitssystemen zu suchen. Wenn welche gefunden werden, versucht der Trojaner, sie zu deaktivieren, Dies funktioniert für Programme und Dienste wie Antivirenprogramme, Firewalls, Hosts für virtuelle Maschinen und etc. Diese Malware-Engine kann sich selbst löschen, wenn diese Programme nicht umgangen werden.
Wenn der Trojaner auf einem bestimmten System gefunden wird, wird ein Neustart des Systems verhindert, Dies ist ein Beispiel für eine persistent Installation. Dies ist beabsichtigt und unterscheidet sich von anderen ähnlichen Bedrohungen, die den Virus lediglich beim Einschalten des Geräts auslösen.
Die tatsächlichen Namen, unter denen die mit der Malware verbundenen Prozesse ausgeführt werden, werden umbenannt, Dies ist ein Versuch, ihre Anwesenheit zu verbergen. Alle mit dem Betrieb verbundenen Konfigurationsdateien und Daten werden verschlüsselt, sie nur den Hackern zur Verfügung stellen. Einige der besonderen Merkmale des Ttint IoT-Trojaners sind die folgenden:
- Erweiterte Trojaner-Operation - Das lokal installierte Agentenprogramm stellt eine Verbindung zu einem von Hackern gesteuerten Server her und ermöglicht es den Angreifern, die Kontrolle über die Geräte vollständig zu übernehmen. Jedoch, anstatt eine Standardverbindung zu verwenden, Dieser spezielle Virus verwendet ein Websocket-Protokoll, das es sehr schwierig macht, die Pakete zu verfolgen.
- Verwendung des Proxyservers - Die Kommunikation zwischen dem lokalen Computer und dem von Hackern kontrollierten Remote-Server wird über einen von den Kriminellen betriebenen Proxyserver weitergeleitet.
- Hijack für den Netzwerkzugriff - Die Malware konfiguriert wichtige Konfigurationsdateien der Zielgeräte neu. Da es sich meistens um Router handelt, haben die Kriminellen vollen Zugriff auf den Netzwerkzugriff der Benutzer.
- Netzwerkbelichtung - Durch Umschreiben der Firewall-Regeln kann die Bedrohung die ansonsten privaten Dienste offenlegen, die auf den Computern hinter dem internen Netzwerk bereitgestellt werden.
- Aktualisierung - In bestimmten Abständen prüft die Haupt-Malware, ob eine neue Version veröffentlicht wurde. Es kann automatisch auf neuere Iterationen aktualisiert werden.
Wie andere Viren dieser Kategorie, es ist in der Lage sensible Informationen entführen vom Host-Gerät, einschließlich der verfügbaren Hardwarekomponenten. Die gesammelten Daten werden den Kriminellen während der Netzwerkübertragung gemeldet.
Eine vollständige Liste der integrierten implementierten Befehle ist die folgende:
attack_udp_generic, attack_udp_vse, attack_udp_dns, attack_udp_plain, atack_tcp_flag, attack_tcp_pack, attack_tcp_xmas, attack_grep_ip, attack_grep_eth, attack_app_http, Führen Sie den Befehl "nc" aus, Führen Sie den Befehl "ls" aus, Systembefehle ausführen, Manipulationen am Router-DNS, Geräteinformationen melden, Konfigurieren Sie iptables, Führen Sie den Befehl "ifconfig" aus, Selbstausgang, Öffnen Sie den Socks5-Proxy, Clos Socks5 Proxy, Selbst-Upgrade, umgekehrte Schale
In diesem Moment ist die beste Sanierung zu Upgrade auf die neueste verfügbare Firmware vom Gerätehersteller. Im Augenblick Zelt ist der einzige bekannte Hersteller von Zielgeräten. Angesichts des Ausmaßes der Angriffe und der umfangreichen Funktionsliste, Wir gehen davon aus, dass zukünftige Angriffe auf eine größere Anzahl von IoT-Geräten abzielen werden.