Er is een nieuwe Linux Trojan, nagesynchroniseerde Linux / NyaDrop, en het is al reverse engineered door MalwareMustDie. Dit is in feite dezelfde onderzoeker die Mirai ontdekt. De Mirai ivd botnet werd gebruikt in meerdere aanvallen en had een wereldwijde infectie. Het verschijnen van een nieuwe Linux-malware kan worden verklaard door het feit dat de Mirai-broncode niet zo lang geleden is gelekt.
Meer over Linux / NyaDrop
Onderzoek van MalwareMustDie geeft aan dat Linux / NyaDrop werd gebruikt bij brute-force aanvallen op Telnet-poorten, Softpedia-rapporten. Aanvankelijk, de malware was nogal simplistisch, maar de code is verbeterd sinds de DDoS-aanvallen op KrebsOnSecurity. De malware-operator(s) moet zijn gelokt door het succes van het Mirai IoT-botnet.
Vergelijkbaar met de gemiddelde IoT-malware, NyaDrop-aanvallen zijn gebaseerd op het bruut forceren van met internet verbonden IoT-apparaten via hun standaardreferenties.
Technische Details
De Trojan is vrij klein van formaat en dat komt omdat het een druppelaar is. Een dropper is een stukje malware dat alleen wordt ingezet om andere malware op een systeem te downloaden. Dit is misschien de eerste keer dat onderzoekers IoT-malware tegenkomen die een druppelaar gebruikt. Droppers zijn een gangbare praktijk voor desktop-malware en zijn een typisch onderdeel van de gemiddelde malware-aanval.
Waarom NyaDrop?? De naam komt van de daadwerkelijke malware die kan worden verwijderd - een ELF-binair bestand genaamd "nya".
Wat betreft een succesvolle malware-infectie, de onderzoeker geeft de volgende uitleg::
Het succesvol geïnstalleerde malwarebestand in het MIPS-systeem is de Linux-malware-backdoor en dropper, Ik noem het als ELF Linux/NyaDrop malware, met de functie om een internetaansluiting te openen(AF_INET) om op afstand verbinding te maken met de externe host voor het ontvangen van gegevens van elke uitvoerbare Linux-stream die bedoeld is om de eerder gecompromitteerde Linux/NyaDrop-machine te infecteren.
Wanneer de infectie succesvol is, NyaDrop zal een achterdeur openen en Nya Trojan downloaden, maar alleen als het IoT-apparaat een MIPS 32-bits architectuur voor zijn CPU gebruikt. Op MIPS gebaseerde CPU's zijn typisch voor apparaten zoals routers, DVR's, bewakingscamera's, embedded systemen in het algemeen.
Het ergste is dat nog te verschijnen versies van NyaDrop kunnen worden ingezet in een reeks kwaadaardige scenario's. Voor een, nieuwe payloads kunnen worden gedownload op de geïnfecteerde apparaten. De nieuwe malware kan worden gebruikt om DDoS-aanvallen te initiëren of kan worden gebruikt als proxy voor webverkeer, waardoor de werkelijke locatie van de aanvaller wordt verborgen.
Al deze "trucs" die door de maker van NyaDrop zijn gebruikt, onthullen een goed doordachte agenda. De hacker doet er alles aan om niet gepakt te worden. Bovendien, NyaDrop kan zelfs honeypot-omgevingen detecteren. De uitvoering van de malware wordt gestopt als een dergelijke omgeving wordt gedetecteerd. De malware-auteur heeft ook gezorgd voor de manier waarop NyaDrop wordt verspreid. Dat is de reden waarom MalwareMustDie zegt dat hij geluk heeft dat hij een monster heeft "verworven" voor reverse-engineering.
Meer technische details
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: