簡単に大きな脅威になる可能性のある最新の悪意のある攻撃の1つは、特定のWebサイト訪問者へのワームの配布です。. その後、ワームはホームルーターに感染し、特定のボットネットに追加します。.
攻撃の詳細:
- 調査によると、今説明した攻撃シナリオには、少なくとも5つの出会い系サイトが関与している可能性があります。.
- このワームは、TheMoonの亜種として識別されます。これは、によって発見および分析された脅威です。 ダムバラの研究者 2月中 2014. TheMoonは、ホームネットワーク管理プロトコルの弱点を悪用するように設計されています.
攻撃の説明
TheMoonはSANSInstituteによって分析されました. これが彼らの 分析.
ワームを展開するには, 悪意のある攻撃者は現在、ページに埋め込まれた悪意のあるフレームによって開始される2段階のプロセスを介して感染が発生する出会い系サイトを使用しています.
iframeはどのように機能しますか? ルーターがHNAPプロトコルを実行しているかどうかを判断するためにさまざまなURL呼び出しを行います. iframeは、ルーターが 192.168.1.1 ルーター管理およびゲートウェイIP用.
とは 192.168.1.1?
192.168.ll ip adressは、ADSLの管理パネルアドレスです。 (非対称デジタル加入者線) モデム. モデムデバイスを製造している企業は、更新されたソフトウェアをロードして、ユーザーが簡単に管理できるようにします。. そのソフトウェアのおかげで, ユーザーは、管理パネルにアクセスして新しい設定を簡単に構成できます, もしも, 例えば, 彼らはインターネット接続の問題に直面しています.
後に 192.168.1.1 チェックが行われます, iframeは「ホームを呼び出し」、検出した情報を共有します. これは、攻撃の第2段階が行われるときです: 2番目のURLがiframeに読み込まれます. 結果として, ペイロード– TheMoonワーム–が配信されます, LinuxELFバイナリと一緒に.
ワームがインストールされたら, これにより、ユーザーはルーターのインバウンドポートの一部を使用できなくなります. また、アウトバウンドポートを開き、それらを使用して他のルーターに拡散することもできます.
ボットネットインフラストラクチャ
最初に述べたボットネットはどうですか? ワームが最初に発見されたとき, コマンドアンドコントロールインフラストラクチャがあるとは報告されていません. 現在, ボットネットは、開発段階またはテスト段階でのみ表示される可能性があり、より広範なインフラストラクチャを構築するための取り組みを明確に表しています。.
ダバラ研究者, 脅威を最初に発見したのは誰ですか, それを信じる:
犯罪者が被害者をマルバタイジングを介して影響を受けるWebサイトにアクセスさせる方法にはさまざまなシナリオがあります, エクスプロイトキットまたはフィッシングメール. 犯罪者は、潜在的な脆弱なホームルーターのIP範囲のスキャンから、Webサイトへの攻撃の埋め込みに移行しました. このWebベースの攻撃への変換は新しく、構築中であるように感じます.
加えて, 研究者は、ワームを広めるために使用された出会い系サイトの所有者を特定しました. でも, 彼らは彼の身元が盗まれたと信じており、彼はボットネットの所有者ではないと信じています. また, の最初の悪意のあるキャンペーン中に 2014, 主にワームの影響を受けたのは、LinksysDLinkホームルーターのモデルでした.
現在, 専門家は、TheMoonの最新バージョンがウイルス対策製品によって検出されないと報告しています.