Mirai variandi uus versioon nimega RapperBot on uusim näide pahavarast, mis kasutab laialdaseks levitamiseks suhteliselt haruldasi või varem tundmatuid nakkusvektoriid.
RapperBot ilmus esmakordselt eelmisel aastal asjade Interneti (IoT) pahavarana, mis sisaldab suuri tükke Mirai lähtekoodi, kuid millel on teistest Mirai variantidest oluliselt erinev funktsionaalsus. Erinevused hõlmasid uue protokolli kasutamist käskluse ja juhtimise (C2) side jaoks ja sisseehitatud funktsiooni jõhkralt sundivate SSH-serverite jaoks, mitte Telneti teenuste jaoks, nagu Mirai variantides tavaline.
Pidevalt arenev oht
Eelmisel aastal pahavara jälginud Fortineti teadlased täheldasid, et selle autorid muutsid pahavara regulaarselt, esiteks koodi lisamine püsivuse säilitamiseks nakatunud masinates isegi pärast taaskäivitamist ja seejärel kaugbinaarallalaadija kaudu iselevitava koodiga. Hiljem eemaldasid pahavara autorid iselevitamise funktsiooni ja lisasid selle, mis võimaldas neil püsivat kaugjuurdepääsu jõhkrale sunniviisilisele SSH-serveritele.
2022. aasta neljandas kvartalis Kaspersky teadlased avastas uue RapperBoti variandi ringleb looduses, kus SSH brute-force funktsionaalsus oli eemaldatud ja asendatud telneti serverite sihtimise võimalustega.
Kaspersky analüüs pahavara kohta näitas, et see integreeris ka selle, mida turbemüüja kirjeldas kui "intelligentset" ja mõnevõrra ebatavalist funktsiooni jõhkralt sundiva telneti jaoks. Selle asemel, et tohutu hulga mandaatidega sundida, kontrollib pahavara seadmesse telneti loomisel saadud viipasid ja valib selle põhjal jõhkra jõuga rünnaku jaoks sobiva mandaatide komplekti. See kiirendab märkimisväärselt jõhkra sundimise protsessi võrreldes paljude teiste pahavaratööriistadega, ütles Kaspersky.
"Kui loote seadmele telnetiga ühenduse, saate tavaliselt viipa," ütleb Kaspersky vanemturbeteadur Jornt van der Wiel. Viip võib avaldada teavet, mida RapperBot kasutab sihitava seadme ja kasutatavate mandaatide määramiseks, ütleb ta.
Olenevalt sihitud asjade Interneti-seadmest kasutab RapperBot erinevaid mandaate, ütleb ta. Seega kasutab seade A kasutaja-/paroolikomplekti A; ja seadme B puhul kasutab see kasutaja-/paroolikomplekti B,” ütleb van der Wiel.
Seejärel kasutab pahavara mitmesuguseid võimalikke käske, nagu "wget", "curl" ja "ftpget", et end sihtsüsteemi alla laadida. Kui need meetodid ei tööta, kasutab pahavara Kaspersky sõnul allalaadijat ja installib end seadmesse.
RapperBoti jõhkra jõuga protsess on suhteliselt haruldane ja van der Weil ütleb, et ta ei oska nimetada teisi pahavara näidiseid, mis seda lähenemisviisi kasutavad.
Arvestades looduses leiduvate pahavaranäidiste tohutut arvu, on siiski võimatu öelda, kas see on ainus pahavara, mis praegu seda lähenemisviisi kasutab. Ta ütleb, et see pole tõenäoliselt esimene pahatahtliku koodi tükk, mis seda tehnikat kasutab.
Uus, haruldane taktika
Kaspersky osutas RapperBotile kui ühele näitele pahavarast, mis kasutab levitamiseks haruldasi ja mõnikord seninägematuid tehnikaid.
Teine näide on "Rhadamanthys", teabevaras, mis on saadaval venekeelses küberkurjategijate foorumis pahavara teenusena. Teabevarastaja on üks kasvavatest pahavaraperekondadest, mida ohustajad on pahatahtlike reklaamide kaudu levitama hakanud.
Taktika seisneb selles, et vastased panevad veebireklaamiplatvormidele pahavaraga koormatud reklaame või reklaame, mis sisaldavad linke andmepüügisaitidele. Sageli on reklaamid mõeldud seaduslikele tarkvaratoodetele ja -rakendustele ning sisaldavad märksõnu, mis tagavad nende esiletõstmise otsingumootori tulemustes või siis, kui kasutajad sirvivad teatud veebisaite. Viimastel kuudel on ohus osalejad selliseid nn väärkasutusi kasutanud laialdaselt kasutatavate paroolihaldurite kasutajad nagu LastPass, Bitwarden ja 1Password.
Kasvav edu, mida ohus osalejad on pahatahtlike petuskeemidega saavutanud, soodustab tehnika kasutamise suurenemist. Näiteks Rhadamanthyse autorid kasutasid algselt andmepüügi- ja rämpsposti e-kirju, enne kui läksid algse nakataja vektorina pahatahtlikele reklaamidele.
"Rhadamanthys ei tee midagi muud kui teised pahatahtlikku reklaami kasutavad kampaaniad," ütleb van der Weil. "See on aga osa suundumusest, et pahatahtlik reklaamimine muutub populaarsemaks."
Teine suundumus, mida Kaspersky on märganud: avatud lähtekoodiga pahavara kasvav kasutamine vähem kvalifitseeritud küberkurjategijate seas.
Võtke CueMiner, GitHubis saadaval olev müntide kaevandamise pahavara allalaadija. Kaspersky teadlased on täheldanud ründajaid, kes levitavad pahavara, kasutades BitTorrenti kaudu või OneDrive'i jagamisvõrkudest alla laaditud murtud rakenduste troojastatud versioone.
"Avatud lähtekoodiga olemuse tõttu saavad kõik selle alla laadida ja kompileerida, " selgitab van der Weil. "Kuna need kasutajad ei ole tavaliselt väga arenenud küberkurjategijad, peavad nad tuginema suhteliselt lihtsatele nakatumismehhanismidele, nagu BitTorrent ja OneDrive."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :on
- $ UP
- 2022
- 7
- a
- juurdepääs
- Vastavalt
- osalejad
- Ad
- lisatud
- kuulutused
- edasijõudnud
- pärast
- vahel
- analüüs
- ja
- rakendused
- lähenemine
- asjakohane
- apps
- OLEME
- AS
- At
- rünnak
- autorid
- saadaval
- põhineb
- saada
- enne
- BitTorrent
- sisseehitatud
- by
- kutsutud
- Kampaaniad
- CAN
- võimeid
- kindel
- Kontroll
- ringluses
- kood
- ühine
- Side
- võrreldes
- sisaldama
- krakitud
- volikiri
- Praegu
- KÜBERKRIMINAAL
- küberkurjategijad
- kirjeldatud
- Määrama
- seade
- erinevused
- erinev
- levitada
- levitamine
- Ei tee
- lae alla
- kirju
- töötab
- Mootor
- tagama
- Isegi
- areneb
- näide
- Selgitab
- peredele
- tunnusjoon
- esimene
- eest
- Fortinet
- foorumid
- Neljas
- Alates
- funktsionaalsus
- saama
- GitHub
- antud
- Kasvavad
- Olema
- Suur
- aga
- HTTPS
- tohutu
- võimatu
- in
- lisatud
- Suurendama
- info
- info
- esialgne
- esialgu
- Näiteks
- integreeritud
- Intelligentne
- Internet
- Asjade Internet
- asjade Interneti
- IoT-seade
- IT
- ITS
- ise
- jpg
- Kaspersky
- keel
- suur
- viimane
- Eelmisel aastal
- LastPass
- hiljemalt
- Tõenäoliselt
- lingid
- masinad
- säilitada
- malware
- palju
- meetodid
- kuu
- rohkem
- nimi
- loodus
- võrgustikud
- Uus
- number
- of
- on
- ONE
- Internetis
- avatud
- avatud lähtekoodiga
- valik
- Muu
- osa
- Parool
- Phishing
- Andmepüügisaidid
- tükk
- Istutus
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- võimalik
- varem
- protsess
- Toodet
- protokoll
- Kvartal
- HARULDANE
- pigem
- saadud
- hiljuti
- regulaarselt
- suhteliselt
- kauge
- Remote Access
- Eemaldatud
- asendatakse
- uurija
- Teadlased
- Tulemused
- avalduma
- vene
- s
- Ütlesin
- ütleb
- petuskeemid
- Otsing
- otsingumootor
- turvalisus
- vanem
- Serverid
- Teenused
- komplekt
- jagamine
- märgatavalt
- lihtne
- Saidid
- So
- tarkvara
- mõned
- mõnevõrra
- allikas
- lähtekoodi
- spam
- kiirused
- laiali
- edu
- selline
- Pind
- süsteem
- taktika
- sihtmärk
- suunatud
- sihtimine
- tehnikat
- et
- .
- Neile
- Need
- asjad
- oht
- ohus osalejad
- et
- töövahendid
- Jälgimine
- Trend
- tüüpiliselt
- Aeg-ajalt
- all
- kasutama
- Kasutajad
- variant
- sort
- müüja
- versioon
- kaudu
- veebilehed
- M
- mis
- laialdaselt
- Metsik
- koos
- Töö
- aasta
- sa
- sephyrnet
