Zerobot bekämpft zahlreiche Schwachstellen in einer Schlange von IoT-Geräten
[ad_1]
Ein neues Botnet greift Unternehmen hoch verschiedene Schwachstellen in Netz of Things (IoT)-Geräten von D-Link, Huawei, RealTek, TOTOLink, Zyxel und anderen an und stellt eine kritische Gefahr dar, die es Angreifern ermöglicht, anfällige Systeme zu übernehmen, nach sich ziehen Forscher herausgefunden.
Dies Botnetz mit dem Namen Zerobot, dies in jener Programmiersprache Go geschrieben ist, enthält Module, die zur Selbstreplikation und Selbstausbreitung im Stande sind, sowie Angriffe pro verschiedene Protokolle, teilte ein Forscher von Fortinet in einem am 6. zwölfter Monat des Jahres veröffentlichten Blogbeitrag mit.
„Zerobot zielt hinauf mehrere Schwachstellen ab, um Zugriff hinauf ein Gerät zu erhalten, und lädt dann ein Skript zur weiteren Verbreitung herunter“, schrieb Cara Lin, Senior Antivirus-Analystin von Fortinet Labs, in dem Mitgliedsbeitrag.
Bisher nach sich ziehen Forscher zwei Versionen des Botnetzes gesehen, eine, die sie am 18. November mit jener Verfolgung begannen, und eine anspruchsvollere Version, die von kurzer Dauer darauf, am 24. November, erschien und eine Schlange neuer Funktionen hinzufügte.
Die erste Version von Zerobot war recht problemlos, nunmehr Angreifer nach sich ziehen sie schnell aktualisiert, um ein „SelfRepo“-Modul aufzunehmen, dies es ihm ermöglicht, sich selbst zu reproduzieren und mehr Endpunkte mit verschiedenen Protokollen oder Schwachstellen zu infizieren, sagten Forscher. Die neueste Version, hinauf jener ihre Betrachtung basiert, enthält selbst Zeichenfolge-Verschleierung und ein Modul zum Kopieren von Dateien.
Angriffsmodus
Zerobot initiiert kombinieren Überfall, während es zunächst seine Verkettung zu 1.1.1.1, dem DNS-Resolver-Server von Cloudflare, überprüft. Es kopiert sich dann basierend hinauf dem Betriebssystemtyp des Opfers mit unterschiedlichen Taktiken je nachher Plattform hinauf dies Zielgerät, sagten die Forscher.
Zwischen Windows kopiert sich Zerobot mit dem Dateinamen „FireWall.exe“ in den Ordner „Autostart“. Wenn die Zielplattform Linux ist, hat sie drei Dateipfade – „HOME%“, „/etc/init/“ und „/lib/systemd/system/“.
Wenn es hinauf dies Zielgerät kopiert wurde, richtet Zerobot ein „AntiKill“-Modul ein, um zu verhindern, dass Benutzer dies Sendung nachher dem Start stören. „Dieses Modul überwacht kombinieren bestimmten Hex-Zahl und verwendet ‚signal.Notify‘, um jedes Vorzeichen abzufangen, dies gesendet wird, um den Prozess zu verfertigen oder abzubrechen“, schrieb Lin.
Nachher jener Initialisierung stellt Zerobot eine Verkettung zu seinem Command-and-Control-Server (C2) ws her[:]//176[.]65[.]137[.]5/Handle unter Verwendung des WebSocket-Protokolls.
Wenn ein Kommunikationskanal möbliert ist, wartet jener Client hinauf kombinieren Gebot vom Server, um kombinieren von 21 Exploits pro verschiedene Schwachstellen in IoT-Produkten sowie wenige andere auszulösen – einschließlich jener Java-Framework-Schwachstelle Spring4Shell, phpAdmin und F5 Big – „um seine Erfolgsrate zu steigern“, schrieb Lin.
Unternehmen: Handeln Sie sofort
Fortinet enthielt eine verkettete Liste jener zahlreichen Schwachstellen, die Zerobot ausnutzt, die in verschiedenen Geräten zu finden sind, darunter Router, Webcams, Network Attached Storage, Firewalls und andere Produkte einer Vielzahl bekannter Hersteller.
Lin riet jeder Organisation, die welche Geräte verwendet, hinauf die neuesten Versionen zu auf den neuesten Stand bringen oder aufgebraucht verfügbaren Patches sofort anzuwenden. Da Unternehmen laut einem im vergangenen Jahr von Netacea veröffentlichten Lagebericht solange bis zu 250 Mio. US-Dollar pro Jahr durch unerwünschte Botnet-Angriffe verlieren, wäre es in jener Tat ratsam, ihre Umgebungen zu kategorisieren, um jedes Gerät zu erspähen, dies pro Zerobot unbeständig sein könnte, bemerkte sie.
„Benutzer sollten sich dieser neuen Gefahr klar sein, aufgebraucht betroffenen Systeme patchen, die in ihrem Netzwerk laufen, und in Betrieb Patches anwenden, wenn sie verfügbar sind“, schrieb Lin.