Eine der neuesten böswilligen Angriffen, die leicht eine große Bedrohung beinhaltet die Verteilung eines Wurms auf bestimmte Website-Besucher werden können. Der Wurm wird dann nach Hause Router anstecken und wird sie zu einem bestimmten Botnet hinzufügen.
Erfahren Sie mehr über Botnetze
Details zum Angriff:
- Untersuchungen haben ergeben, dass wahrscheinlich mindestens fünf Dating-Websites an dem gerade beschriebenen Angriffsszenario beteiligt sind.
- Der Wurm wird als Variante von TheMoon identifiziert – einer Bedrohung, die entdeckt und analysiert wurde von Damballa-Forscher im Februar 2014. TheMoon wurde entwickelt, um die Schwachstellen im Home Network Administration Protocol auszunutzen.
Beschreibung des Angriffs
TheMoon wurde vom SANS Institute analysiert. Hier ist ihr Analyse.
Um den Wurm einzusetzen, böswillige Akteure verwenden derzeit Dating-Sites, auf denen die Infektion über einen zweistufigen Prozess erfolgt, der von einem auf der Seite eingebetteten bösartigen Frame gestartet wird.
Wie funktioniert der iframe? Es führt verschiedene URL-Aufrufe durch, um festzustellen, ob der Router das HNAP-Protokoll ausführt. Der iframe prüft auch, ob der Router die 192.168.1.1 für Router-Management und Gateway-IP.
Was ist 192.168.1.1?
192.168.l.l IP-Adresse ist die Management-Panel-Adresse eines ADSL (Asymmetrische digitale Teilnehmer Verbindung) Modem. Unternehmen, die Modemgeräte herstellen, laden aktualisierte Software darauf, damit sie von Benutzern leicht verwaltet werden kann. Dank dieser Software, Benutzer können ganz einfach neue Einstellungen konfigurieren, indem sie ihr Management-Panel aufrufen, wenn, beispielsweise, sie haben Probleme mit der Internetverbindung.
Nach dem 192.168.1.1 Kontrollen sind gemacht, der iframe „ruft zuhause an“ und teilt alle Informationen, die er entdeckt hat. Dies ist, wenn die zweite Phase des Angriffs stattfindet: eine zweite URL wird in den iframe geladen. Infolge, die Nutzlast – TheMoon-Wurm – wird geliefert, zusammen mit einer Linux ELF-Binärdatei.
Sobald der Wurm installiert ist, Es verhindert, dass Benutzer einige der eingehenden Ports des Routers verwenden. Es kann auch ausgehende Ports öffnen und sie zur Verbreitung auf andere Router verwenden.
Die Botnet-Infrastruktur
Was ist mit dem Botnet, das wir eingangs erwähnt haben?? Als der Wurm zum ersten Mal entdeckt wurde, Es wurde nicht berichtet, dass es über eine Befehls- und Kontrollinfrastruktur verfügt. Zur Zeit, das Botnet erscheint möglicherweise nur in seiner Entwicklungs- oder Testphase und stellt definitiv einen Versuch dar, eine breitere Infrastruktur aufzubauen.
Daballa-Forscher, wer hat die Bedrohung zuerst entdeckt, glaube das:
Es gibt verschiedene Szenarien, wie die Kriminellen ihre Opfer über Malvertising dazu bringen könnten, eine betroffene Website zu besuchen, Exploit-Kits oder Phishing-E-Mails. Die Kriminellen wechselten vom Scannen von IP-Bereichen auf potenziell anfällige Heimrouter zum Einbetten des Angriffs auf einer Website. Es fühlt sich an, als wäre diese Umstellung auf einen webbasierten Angriff neu und im Aufbau.
Außerdem, Forscher identifizierten den Besitzer der Dating-Sites, die zur Verbreitung des Wurms verwendet wurden. Jedoch, sie glauben, dass seine Identität gestohlen wurde und er nicht der Besitzer des Botnetzes ist. Auch, während der ersten bösartigen Kampagnen in 2014, Am meisten von dem Wurm betroffen waren Modelle von Linksys DLink Home Routern.
Zur Zeit, Experten berichten, dass die neueste Version von TheMoon von Antivirenprodukten nicht erkannt wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: