Киберпреступники используют бот Linux/Remaiten для компрометации маршрутизаторов

image

Теги: бот, компрометация, C&C-сервер, вредоносное ПО, Linux

Бот сочетает функции уже известного вредоносного ПО для Linux – Tsunami и Gafgyt.

Исследователи компании ESET активно отслеживают деятельность вредоносных программ, используемых злоумышленниками для компрометации встраиваемых устройств, в частности, маршрутизаторов, сетевых шлюзов и беспроводных точек доступа. Некоторое время назад эксперты обнаружили IRC-бот, сочетающий функции уже известного вредоносного ПО для Linux – Tsunami (Kaiten) и Gafgyt. Новая программа получила название Linux/Remaiten. От вышеуказанного ПО вредонос отличается наличием ряда улучшений и новых функций.

По данным аналитиков ESET, существует три версии Linux/Remaiten – 2.0, 2.1 и 2.2. Сами вирусописатели называют данное вредоносное ПО KTN-Remastered или KTN-RM.

Одной из ключевых особенностей функционала Gafgyt является сканирование различных IP-адресов на предмет подключения к порту с номером 23 (Telnet). В случае обнаружения жертвы, Gafgyt загружает исполняемые файлы для различных архитектур микропроцессоров. Разработчики Linux/Remaiten улучшили используемый Gafgyt метод. Вместо загрузки исполняемых файлов всех поддерживаемых архитектур в память устройства загружается только один соответствующий загрузчик.

Бот Linux/Remaiten функционирует в системе по умолчанию как сервис или демон. При запуске бота с ключом «–d» он работает в качестве обычного приложения. После запуска бота в данном режиме название его процесса будет изменено на название какого-либо стандартного легитимного процесса (например, «-bash» или «-sh»). Используя функцию create_daemon, бот создает файл .kpid в одной из предустановленных директорий демона и записывает в него идентификатор (PID) своего процесса.

Далее Linux/Remaiten случайным образом выбирает адрес C&C-сервера из списка внедренных IP-адресов и подключается к определенному порту. После успешного подключения бот регистрируется на IRC-сервере и получает от него приветственное сообщение и дальнейшие указания.

Бот может выполнять различные IRC-команды C&C-сервера, в частности, команду PRIVMSG. Она используется сервером для инструктирования бота на выполнение ряда действий (загрузку файлов, сканирование IP-адресов с целью подключения по Telnet и пр.). Бот отправляет на C&C-сервер данные об IP-адресе устройства, логин/пароль и сообщает, было ли оно заражено. Как полагают исследователи ESET, операторы бота могут вручную инфицировать целевое устройство, если не получится сделать это автоматически.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.