セキュリティアナリストは、新たな世界的なマルウェアの脅威を発見しました。これは、カスタムビルドのP2P通信モジュールを使用して拡散するHide'NSeekIoTボットネットです。. 感染は急速に増加しており、設定されたターゲットに対して個別の攻撃が開始されているようです.
Hide'nSeekIoTボットネットは手ごわい武器です
コンピュータセキュリティの調査により、危険な新しいIoTボットネットと呼ばれるものが発見されました 'Nシークを隠す これは、世界中のターゲットに対してさまざまなハッカーグループによって利用されています. 最初の攻撃は1月に行われました 10. キャンペーンが数日間停止した後、再び再開するため、最初の立ち上げはテスト的なものであったと思われます。. アナリストは、主要なマルウェアコードが改善された機能を含むように変更されたことを検出しました. このような戦術は、これら2つのシナリオのいずれかが発生した可能性があることを示しています:
- 市場で購入した攻撃ツール —ボットネットが地下のハッカー市場を通じて取得された可能性があります. 意図したターゲットに対して独自のカスタム構成を使用しているさまざまなハッキンググループによって、さまざまな攻撃が実行される可能性があります.
- カスタムコード —他の可能性は、犯罪者が自分たちで劇場を作成したことを提案しています. さまざまな攻撃キャンペーンは、The Hide'nSeekIoTボットネットの新しいバージョンを表しています。.
Hide'NSeekIoTボットネットの機能
分析によると、ボットネットは、非常に複雑な侵入モジュールを使用して、セキュリティが弱いターゲットIoTデバイスに感染します。. 複数の機能があります ステルス保護 セキュリティアプリケーションとサービスがマルウェア感染を発見するのを防ぐ技術. 攻撃エンジンは、できるだけ多くのIoTおよびネットワーク機器に感染することを目的としたいくつかのWebエクスプロイトと脆弱性を利用します. アナリストは、その中には CVE-2016-10401アドバイザリ これは次のようになります:
ZyXEL PK5001Zデバイスには、suパスワードとしてzyad5001があります, これにより、root以外のアカウントのパスワードがわかっている場合、リモートの攻撃者がrootアクセスを取得しやすくなります。 (または、ルート以外のデフォルトアカウントが、これらのデバイスのISPの展開内に存在します).
攻撃は従来のシーケンスに従います— IoTボットネットは、デフォルトの資格情報のリストを使用してネットワークデバイスにログインしようとします. これが成功しない場合、辞書攻撃が開始されます. 場合によっては、ブルートフォース方式も採用されることがあります. 専門家は、このエクスプロイトが侵入先のデバイスに複数の種類の攻撃を仕掛けることができることを発見しました. リストには次のものが含まれます 情報収集 犯罪者がカスタマイズできる. 彼らは両方を抽出することを選ぶかもしれません システムデータ と 個人を特定できる情報. 最初のカテゴリは主に、キャンペーンがどれほど効果的であるかを判断し、ハッカーが侵害したネットワークの種類を完全に把握するために使用されます。. 2番目のタイプは、名前に関連する文字列を探すことでユーザーIDを直接公開できるため、非常に危険です。, 電話番号, 住所, 興味, パスワードとアカウントの資格情報.
Hide'N Seek IoTボットネットは、感染したマシンの完全なプロファイルを作成することが判明しました. 複雑なアルゴリズムを使用して、デバイスに侵入し、可能な限り多くの損傷を引き起こすための最良の方法を判断します. セキュリティ研究者は、被害者のデバイスが同じローカルエリアネットワークに配置されている場合は注意します (LAN) ボットネットに感染すると、マルウェアエンジンは、ボットネットが他のホストに感染を配信できるようにするファイルサーバーをセットアップします。. 同様に、ハッカーがインターネットを介して侵害したい場合、ボットネットエンジンは、発見された脆弱性に一致する特定のリモートペイロードをダウンロードします。. これを使用すると、エンジンはターゲットにリモートで感染することができます. アナリストは、ハッカーのオペレーターを除くすべての人による改ざんを防ぐために、技術がデジタル署名されたリストに記録されていることに注目しています. リストの更新されたバージョンは、マルウェアのサンプルがさらに広がるにつれて、マルウェアのサンプルと一緒に配布できます。.
Hide'NSeekIoTボットネットの結果
ボットネットがデバイスを侵害すると、ボットネットは 永続的な実行状態. これは、重要な構成変数を変更し、ユーザーによる手動による削除の試みを防ぐことができることを意味します. 場合によっては、マルウェアは、ハードリセットと一緒にファクトリリセットを実行することによってのみ実行できます。. デバイスが異なるホスト間でP2P通信を使用するという事実は、デバイスをさらに拡散するときに非常に便利なツールになります. このようなサンプルは、大規模なネットワークを制御し、注目度の高いターゲットに対してDDOS攻撃を実行するのに非常に効率的です。.
Hide'N Seekは、モジュラーP2P通信プラットフォームを利用する2番目のマルウェアです。 はじめボットネット. ただし、Hajimeと比較すると、BitTorrentプロトコルに依存する代わりにカスタム実装を使用します.
現時点では、ボットネットは無音のままです. 専門家は、次のバージョンで新しい攻撃が計画されていると推測しています. より大きな攻撃キャンペーンですぐにリリースされる可能性が非常に高いです. これが、高品質のスパイウェア対策ソリューションを採用してコンピューターを保護するようにコンピューターの使用を推奨する理由の1つです。. また、無料のスキャンを使用して、未解決の感染がないかマシンをスキャンすることもできます。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法