Большинство бот-сетей IoT. это работа детей, играющих с подвигами, которые они нашли в Интернете.

Каталин Чимпану за нулевой день | 5 апреля 2019. 18:45 GMT (11:45 PDT) | Тема: Безопасность

мировая карта-глобус-ddos.png

Заголовки как Ботнет IoT нацелен на корпоративные устройства звучит очень страшно, но реальность такова, что многие из этих ботнетов. это работа детей, играющих со случайными подвигами, которые они нашли в Интернете, и многие из этих ботнетов вымирают в течение нескольких недель, так как авторам становится скучно или они переходят к другим проектам. ,

Безопасность

Ярким примером этого является Kepler, ботнет IoT, который сделал новости в прошлом месяце из-за своей способности заражать рекламные вывески и системы презентаций, два типа устройств, встречающихся в корпоративных сетях.

При первом прочтении любой отчет о Kepler может показаться, что автор ботнета намеренно стремится закрепиться в корпоративных сетях, чтобы впоследствии они могли развернуть более мощное вредоносное ПО.

Авторы Кеплера: Нам было просто весело!

Однако на самом деле все не так. В записанном интервью с Анкит Анубхав, исследователем безопасности для NewSky Security, опубликованном в Soundcloud, два автора ботнета признались, что создали ботнет для развлечения, добавив случайные эксплойты, взятые с сайта ExploitDB.

Мы просто пара друзей, которые веселятся, оба сказали, прежде чем признать, что это был фактически второй ботнет, который они собрали, после того, как он создал еще один в прошлом году.

Несмотря на то, что Кеплер генерировал несколько страшных заголовков, дуэт не воспринимал работу над своим ботнетом всерьез, признав, что даже не удосужился подсчитать количество устройств, зараженных их ботнетом.

Кроме того, ботнет не использовал 27 эксплойтов, как первоначально сообщалось в Palo Alto Networks, но 43, по словам Нипсу, одного из авторов Kepler. все, конечно, выбраны случайным образом.

Согласно интервью, два хакера, один из которых является несовершеннолетним, просто тестировали случайные уязвимости, желая посмотреть, кто из них собрал больше ботов.

Они заявили, что в настоящее время не планируют продавать ботнет Kepler другим бандам киберпреступности или арендовать его для DDoS-атак. обычная практика и источник прибыли для многих авторов бот-сетей IoT.

Кеплер. это тренд, а не крайний случай

Эти откровения. не просто единичный случай в ботнет-сцене IoT. Многие авторы бот-сетей. просто дети, делающие свои первые шаги в мире программирования и кибербезопасности, играющие с подвигами, прежде чем понять юридическую проблему, с которой они могут столкнуться, и перейти к другим профессиям. или быть арестованными [1, 2].

Большая часть операторов бот-сетей IoT, перечисленных в этом списке топ-20 IoT Blackhat Hackers, теперь перешла от запуска бот-сетей IoT.

Один из них, Switch (№ 15 в списке), поделился своими взглядами на текущую сцену бот-сетей IoT. На вопрос, насколько легко было бы интегрировать код, взятый из ExploitDB, в ботнет, Switch, который является автором многих руководств YouTube по созданию вредоносных программ IoT, ответил следующим образом.

Если вы говорите об автоматических сканерах, таких как Huawei, Realtek, ThinkPHP и т. Д., Это ОЧЕНЬ легко, Переключатель сказал. В нем всего несколько строк кода. Я уже делал урок о том, как это сделать, так как это занимает всего несколько минут.

Я видел, как несколько человек раньше писали сканеры [для уязвимых устройств] в источники, и, как я вижу, это в основном копирование и вставка, он сказал.

Anubhav, исследователь безопасности, который целый день изучает ботнеты IoT, также разделяет мнение Switch.

Большая часть кода эксплойта IoT заимствована из ExploitDB, Анубхав сказал.

Во многих случаях уязвимости не могут заразить большое количество устройств, поэтому злоумышленники пытаются использовать как можно больше уязвимостей, чтобы дополнительно оценить, какое из них получит максимальную выгоду.

Это вечеринка Mirai / Gafgyt

Но помимо Кеплера, еще один недавний пример ботнета IoT, который не так опасен, как кажется. это документально подтвержденный Trend Micro на этой неделе.

Этот ботнет, имя которого не имеет конкретного имени, работает на одном из вариантов вредоносного программного обеспечения Bashlite (Gafgyt) IoT, который используется в качестве каркаса и настраивается с помощью нескольких эксплойтов ExploitDB, которые в данном случае нацелены на устройства Belkin WeMo.

В настоящее время анатомия этого ботнета является репрезентативной для всей вредоносной сцены IoT. Операторы ботнетов используют исходный код вредоносного ПО IoT, который ранее просочился в сети в последние годы, в качестве каркаса для доставки случайных эксплойтов, скопированных из ExploitDB.

В большинстве случаев эти ботнеты построены на вредоносных штаммах Bashlite (Gafgyt) или Mirai IoT, и только очень редко настоящий кодер вредоносных программ приходит к инновациям и создает новые вредоносные штаммы. например, такие хакеры, как Wicked или Janit0r ( BrickerBot автор).