Een onbekende hackgroep maakt gebruik van een voorheen onbekende malware genaamd Ttint, die is gecategoriseerd als een IoT-specifieke Trojan. Wat we weten is dat de hacker-ontwikkelaars twee zero-day-kwetsbaarheden gebruiken om de doelapparaten binnen te dringen. De veiligheidsanalyse heeft geleid tot een onderzoek, waardoor de zwakke punten in twee geplaatste adviezen worden onthuld: CVE-2018-14558 en CVE-2020-10987. Van de vastgelegde monsters, het lijkt erop dat de malware is gebaseerd op Mirai-code.
CVE-2018-14558 & CVE-2020-10987 gebruikt als mechanismen om Ttint IoT Trojan te leveren
Een nieuwe en gevaarlijke IoT-trojan valt apparaten wereldwijd aan. Volgens de vrijgegeven code-analyse, het is gebaseerd op de Mirai-code en ontwikkeld door een onbekende hackgroep. Net als andere virussen van deze categorie, zal het, wanneer een enkele infectie is opgetreden, automatisch proberen binnen te dringen op andere vergelijkbare hosts, waardoor er een groot botnet-netwerk ontstaat. Daarom, dergelijke aanvalscampagnes worden als zeer effectief beschouwd als de juiste configuratie en doelen worden gemaakt.
Infiltraties met deze specifieke malware worden gemaakt met behulp van de typische benadering van directe aanvallen op het netwerk — de hackers maken gebruik van geautomatiseerde frameworks die zijn geladen met de nodige kwetsbaarheden. Als de doelnetwerken niet zijn gepatcht, zullen de infecties automatisch plaatsvinden. Een van de redenen waarom deze indringers als kritiek werden beschouwd wat betreft hun potentiële schade, is omdat de zwakke punten werden gelabeld als “zero-day”, ze waren onbekend voorafgaand aan de infecties.
De eerste aanvallen werden gedetecteerd in november 2019, toen de Ttint IoT Trojan werd gelanceerd tegen eigenaren van Tenda-routers. Deze eerste instantie maakte gebruik van de twee kwetsbaarheden en de openbaarmaking vond plaats in juli 2020. De tweede aanvalsgolf vond plaats in augustus 2020, opnieuw tegen Tenda-apparaten. De Ttint Trojan is gericht op het gebruik van deze twee adviezen:
- CVE-2018-14558 — Er is een probleem ontdekt op Tenda AC7-apparaten met firmware tot en met V15.03.06.44_CN(AC7), AC9-apparaten met firmware tot V15.03.05.19(6318)_CN(AC9), en AC10-apparaten met firmware tot V15.03.06.23_CN(AC10). Door een kwetsbaarheid voor opdrachtinjectie kunnen aanvallers willekeurige OS-opdrachten uitvoeren via een vervaardigd goform / setUsbUnload-verzoek. Dit komt doordat de “formsetUsbUnload” functie voert een dosystemCmd-functie uit met niet-vertrouwde invoer.
- CVE-2020-10987 — Het goform / setUsbUnload-eindpunt van de Tenda AC15 AC1900-versie 15.03.05.19 stelt externe aanvallers in staat om willekeurige systeemopdrachten uit te voeren via de parameter deviceName POST.
Volgens de beschikbare informatie zijn de meeste aanslagen gericht tegen slachtoffers in Zuid-Amerika.
Ttint IoT Trojan-mogelijkheden
De Tting Iot Trojan is gebaseerd op Mirai en bevat als zodanig een vergelijkbare infectievolgorde. Hoewel het dezelfde gedistribueerde denial-of-service-benadering omvat, de hackers hebben ook een extra geïmplementeerd 12 controle instructies.
Wanneer de infectie op de getroffen computers wordt uitgevoerd, is een van de eerste acties om verberg de virussporen worden gedetecteerd. Dit wordt gedaan door het besturingssysteem te monitoren met als doel te zoeken naar geïnstalleerde beveiligingssystemen. Als er een worden gevonden, zal de Trojan proberen ze uit te schakelen, dit werkt voor programma's en services zoals antivirusprogramma's, firewalls, virtual machine hosts en etc. Deze malware-engine kan zichzelf verwijderen als het deze programma's niet omzeilt.
Als het Trojaans paard op een bepaald systeem wordt aangetroffen, kan het systeem niet opnieuw opstarten, dit is een voorbeeld van een persistent installatie. Dit is opzettelijk en verschilt van andere soortgelijke bedreigingen die het virus alleen starten wanneer het apparaat wordt ingeschakeld.
De daadwerkelijke namen waaronder de processen die met de malware zijn geassocieerd, worden hernoemd, dit is een poging om hun aanwezigheid te verbergen. Alle configuratiebestanden en gegevens die bij de werking horen, zijn gecodeerd, waardoor ze alleen beschikbaar zijn voor de hackers. Enkele van de onderscheidende kenmerken van de Ttint IoT Trojan zijn de volgende:
- Geavanceerde Trojan-werking - Het lokaal geïnstalleerde agentprogramma maakt verbinding met een hacker-gecontroleerde server en stelt de externe aanvallers in staat de controle over de apparaten volledig over te nemen. Echter, in plaats van een standaardverbinding te gebruiken, dit specifieke virus zal een websocket-protocol gebruiken waardoor het erg moeilijk is om de pakketten te traceren.
- Gebruik van proxyserver - De communicatie tussen de lokale computer en de hacker-gecontroleerde server op afstand wordt doorgestuurd via een proxyserver die wordt beheerd door de criminelen.
- Netwerktoegangskaping - De malware zal belangrijke configuratiebestanden van de doelapparaten opnieuw configureren. Aangezien het meestal routers zijn, hebben de criminelen volledige toegang tot de netwerktoegang van de gebruikers.
- Netwerkbelichting - Door de firewallregels te herschrijven, zal de dreiging in staat zijn om de anders private services bloot te leggen die worden ingezet op de machines achter het interne netwerk.
- Upgrade - Op gezette tijden controleert de belangrijkste malware of er een nieuwe versie van is uitgebracht. Het kan automatisch worden bijgewerkt naar nieuwere iteraties.
Net als andere virussen in deze categorie, het is in staat om gevoelige informatie kapen vanaf het hostapparaat, inclusief de beschikbare hardwarecomponenten. De verzamelde gegevens worden tijdens de netwerkoverdracht aan de criminelen gerapporteerd.
Een volledige lijst van de ingebouwde geïmplementeerde opdrachten is de volgende:
attack_udp_generic, attack_udp_vse, attack_udp_dns, attack_udp_plain, atack_tcp_flag, attack_tcp_pack, attack_tcp_xmas, attack_grep_ip, attack_grep_eth, attack_app_http, voer de opdracht "nc" uit, voer het commando "ls" uit, voer systeemopdrachten uit, knoeien met router DNS, Rapporteer apparaatinformatie, Configureer iptables, voer het "ifconfig" commando uit, self-exit, Open Socks5-proxy, Clos Socks5-proxy, Zelf upgraden, omgekeerde schaal
Op dit moment is de beste remedie om upgrade naar de nieuwste beschikbare firmware van de fabrikant van het apparaat. Momenteel Tent is de enige bekende fabrikant van gerichte apparaten. Gezien de omvang van de aanvallen en de uitgebreide lijst met features, we verwachten dat toekomstige aanvallen zich op een breder scala aan IoT-apparaten zullen richten.