Een nieuwe aanval campagne gebruik te maken van bijgewerkte exemplaren van het verbergen ‘N zoekt ivd botnet worden momenteel aanvallen gebruikers wereldwijd. De veiligheidsanalyse van de opgenomen samples showcase dat de bijgewerkte code een breed scala aan databases servers ondersteuning. Dit geeft het hacken groepen een zeer geducht wapen dat ze kunnen gebruiken in geavanceerde aanvallen.
Hide ‘N zoekt IoT Botnet bijgewerkt met nieuwe mogelijkheden
Onlangs veroverde stammen van het verbergen ‘N zoekt IoT botnet zijn gevonden om een bijgewerkte code base bevatten. De gemaakte stammen blijkt dat de nieuwe versies van de malware kan richten op verschillende databaseservers waardoor de presentatie van een nog grotere bedreiging.
Het eerste versies van Hide ‘N zoekt werden gevonden in januari in grootschalige wereldwijde campagnes die in staat zijn om duizenden apparaten infecteren op een snelle wijze werden. De uitgevoerde analyse blijkt dat de hackers achter de infiltraties gebruikt talrijke kwetsbaarheden een zwak vinden en infecteren de doelgastheer. Aan het begin van mei 2018 de statistieken geven aan dat het botnet heeft besmet meer dan 90 000 hosts. Andere toevoegingen aan het destijds was inclusief een nieuwe persistentiemodule.
Dergelijke toevoegingen opnieuw configureren instellingen van het doelsysteem, om de malware automatisch te starten zodra het apparaat is ingeschakeld. Het configureert de boot instellingen wijzigen om de diensten of toepassingen die kunnen interfereren met het te omzeilen zijn correcte uitvoering. Als Windows-apparaten het besmet, de motor kan de respectievelijke wijzigen registry entries door aanpassing van de degenen die behoren tot de bootmanager, daarnaast kan het installeren inzendingen behoren tot zichzelf.
Hide ‘N zoekt IoT Botnet Mechanisme van infectie
De infecties worden gedaan in een P2P wijze die niet berusten op een centrale locatie van waar de aanvallen worden gedaan. Dit maakt het veel meer effectief als de security-beheerders een veel hardere tijd zal het filteren van de kwaadaardige hosts.
De nieuwere versies van het verbergen ‘N zoekt IoT botnet is gevonden om nieuwere exploits die kwetsbaar zijn oa gericht zijn Cisco Linksys routers en AVTECH webcams. De motor heeft nu een extra 171 hardcoded P2P knooppunten en andere kenmerken toevoegingen zoals een cryptogeld mijnwerker. Dit installeert een software-exemplaar dat gebruik van de beschikbare systeembronnen om digitale valuta activa die automatisch worden gegenereerd om portefeuilles van de hacker te genereren maakt.
De infectie motor maakt gebruik van een poortscanner die lijkt te worden genomen van de Mirai botnet. Uit de analyse blijkt dat het er voor open poorten naar gemeenschappelijke diensten (poorten 80, 8080/2480, 5984 en 23) en andere willekeurig geselecteerde. Een nieuwe toevoeging is de mogelijkheid om infecteren databases - zowel OrientDB en Apache CouchDB worden ondersteund.
Er zijn drie verschillende manieren waarop de botnet kan contact opnemen met de andere collega's die het netwerk vormen:
- Contact opnemen met de ingebouwde lijst van Peers.
- Gespecificeerd opdrachtregelargumenten.
- Zoals geïnstrueerd door andere peers.
Wanneer de instanties worden gestart zonder argumenten het verbergen ‘N zoekt ivd Botnet het lokale knooppunt stuurt een reeks UDP check-in pakketten om de infectie te melden.
De reden waarom de huid N’ Seek ivd botnet wordt gevreesd als een effectieve hacken wapen is de reden dat ik hieraan. De criminelen lijken zowel bedrijven en overheidsinstellingen te richten door het toevoegen van de nieuwe infectie mogelijkheden. De nieuwste updates kunnen ook wijzen op een brede wereldwijde campagne tegen eindgebruikers die vaak webcams en ivd apparatuur worden als onderdeel van hun slimme aankopen huishoudelijke apparaten.
Als het botnet wordt gebruikt om te veroorzaken sabotage het geïnfecteerde hosts dan kan dit worden gedaan door het gebruik van de database manipulatie engine. De criminelen kunnen het gebruiken om te wissen, manipuleren of kaping opgeslagen informatie, evenals plantenvirussen in het slachtoffer hosts.
Andere schade die kan worden toegebracht omvat Trojaans paard gedrag. In dit geval een veilige verbinding met een hacker gecontroleerde server of P2P knooppunt wordt vastgesteld. Door dit de criminelen kunnen bespioneren de slachtoffers in real-time, evenals de controle overnemen van de apparaten en het implementeren van bijkomende bedreigingen.
De gevaarlijke kenmerk van botnet-infecties is dat in veel gevallen het slachtoffer gebruikers mag geen symptomen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: