新しいLinuxトロイの木馬があります, Linux/NyaDrop吹き替え, そしてそれはすでにMalwareMustDieによってリバースエンジニアリングされています. 実はこれはみらいを発見したのと同じ研究者です. Mirai IoTボットネットは複数の攻撃に使用され、世界的な感染率を示しました. 新しいLinuxマルウェアの出現は、Miraiのソースコードがそれほど前に漏洩したという事実で説明される可能性があります.
Linux/NyaDropの詳細
MalwareMustDieの調査によると、Linux/NyaDropがTelnetポートへのブルートフォース攻撃に使用された, Softpediaレポート. 最初は, マルウェアはかなり単純でした, しかし、KrebsOnSecurityに対するDDoS攻撃以降、そのコードは進歩しています。. マルウェアオペレーター(s) MiraiIoTボットネットの成功に魅了されたに違いありません.
平均的なIoTマルウェアと同様, NyaDrop攻撃は、デフォルトのクレデンシャルを介したブルートフォースインターネット接続のIoTデバイスに基づいています.
技術的な詳細
トロイの木馬はサイズが非常に小さく、スポイトであるためです。. ドロッパーは、他のマルウェアをシステムにダウンロードするためにのみ展開されるマルウェアです。. スポイトを使用するIoTマルウェアに研究者が遭遇するのはおそらくこれが初めてです. ドロッパーはデスクトップマルウェアの一般的な手法であり、平均的なマルウェア攻撃の典型的な部分です。.
なぜNyaDrop? この名前は、ドロップされる可能性のある実際のマルウェアに由来しています–「nya」と呼ばれるELFバイナリ.
マルウェア感染の成功について, 研究者は次のように説明します:
MIPSシステムに正常にインストールされたマルウェアファイルは、Linuxマルウェアのバックドアおよびドロッパーです。, 私はそれをELFLinux/NyaDropマルウェアと呼んでいます, インターネットソケットを開く機能付き(AF_INET) 以前にLinux/NyaDropが侵害されたマシンに感染することを目的とした、Linux実行可能ストリームのデータを受信するためにリモートホストにリモート接続する.
感染が成功したとき, NyaDropはバックドアを開き、Nyaトロイの木馬をダウンロードしますが、IoTデバイスがCPUにMIPS32ビットアーキテクチャを使用している場合に限ります. MIPSベースのCPUは、ルーターなどのデバイスで一般的です, DVR, CCTVカメラ, 一般的な組み込みシステム.
最悪の部分は、まだリリースされていないバージョンのNyaDropがさまざまな悪意のあるシナリオで展開される可能性があることです. 一つのために, 感染したデバイスに新しいペイロードをダウンロードできます. 新しいマルウェアは、DDoS攻撃を開始するために使用することも、Webトラフィックのプロキシとして使用することもできます。, したがって、攻撃者の実際の場所を隠す.
NyaDropの作成者が採用したこれらすべての「トリック」は、よく考えられたアジェンダを明らかにします. ハッカーは捕まえられないことを何でもしている. 加えて, NyaDropはハニーポット環境も検出できます. このような環境が検出された場合、マルウェアの実行は停止されます. マルウェアの作成者は、NyaDropの拡散方法にも注意を払っています。. そのため、MalwareMustDieは、リバースエンジニアリングの目的でサンプルを「取得」できたのは幸運だと言っています。.
もっと 技術的な詳細