A Mirai egyik változatának új verziója, a RapperBot a legújabb példa arra, hogy a rosszindulatú programok viszonylag szokatlan vagy korábban ismeretlen fertőzési vektorokat használnak a széles körben terjedésre.
A RapperBot először tavaly jelent meg Internet of Things (IoT) kártevőként, amely nagy mennyiségű Mirai-forráskódot tartalmaz, de néhány lényegesen eltérő funkcionalitással rendelkezik, mint a többi Mirai-változat. A különbségek között szerepelt egy új protokoll használata a parancs- és vezérlés (C2) kommunikációhoz, valamint egy beépített szolgáltatás a brute-forcing SSH-kiszolgálókhoz, nem pedig a Telnet szolgáltatásokhoz, amint az a Mirai változatokban megszokott.
Folyamatosan fejlődő fenyegetés
A Fortinet kutatói, akik tavaly nyomon követték a kártevőt, megfigyelték, hogy a szerzők rendszeresen módosították a kártevőt, először is kód hozzáadása a tartósság megőrzéséhez a fertőzött gépeken még újraindítás után is, majd egy távoli bináris letöltőn keresztül történő önszaporításhoz szükséges kóddal. Később a kártevők eltávolították az önterjedési funkciót, és hozzáadtak egy olyant, amely lehetővé tette számukra a tartós távoli hozzáférést a brutálisan kényszerített SSH-kiszolgálókhoz.
2022 negyedik negyedévében a Kaspersky kutatói felfedezett egy új RapperBot változatot a vadonban kering, ahol az SSH brute-force funkcióját eltávolították, és a telnet szerverek megcélzására alkalmas képességekkel helyettesítették.
A Kaspersky elemzése a rosszindulatú programról azt is kimutatta, hogy a biztonsági gyártó által leírt „intelligens” és kissé szokatlan funkciót is integrálta a brute-forcing telnethez. Ahelyett, hogy hatalmas hitelesítő adatokkal erőszakolna, a rosszindulatú program ellenőrzi a kapott utasításokat, amikor egy eszközre telnetez – és ez alapján kiválasztja a megfelelő hitelesítő adatok készletét a brute-force támadáshoz. Ez jelentősen felgyorsítja a brutális kényszerítés folyamatát sok más rosszindulatú szoftverhez képest, mondta Kaspersky.
„Amikor telnetet tesz egy eszközre, általában felszólítást kap” – mondja Jornt van der Wiel, a Kaspersky vezető biztonsági kutatója. A felszólítás felfedhet bizonyos információkat, amelyeket a RapperBot felhasznál a megcélzott eszköz és a használandó hitelesítő adatok meghatározására.
A megcélzott IoT-eszköztől függően a RapperBot különböző hitelesítő adatokat használ, mondja. „Tehát az A eszközhöz az A felhasználó/jelszókészletet használja; a B eszközhöz pedig a B felhasználói/jelszókészletet használja” – mondja van der Wiel.
A rosszindulatú program ezután számos lehetséges parancsot használ, mint például a „wget”, „curl” és „ftpget”, hogy letöltse magát a célrendszerre. Ha ezek a módszerek nem működnek, a rosszindulatú program letöltőt használ, és a Kaspersky szerint telepíti magát az eszközre.
A RapperBot brute force eljárása viszonylag ritka, és van der Weil azt mondja, hogy nem tud más olyan rosszindulatú programmintákat megnevezni, amelyek ezt a megközelítést használják.
Ennek ellenére, tekintettel a vadon élő rosszindulatú programokra, lehetetlen megmondani, hogy ez az egyetlen rosszindulatú program, amely jelenleg alkalmazza ezt a megközelítést. Valószínűleg nem ez az első rosszindulatú kód, amely ezt a technikát használja, mondja.
Új, ritka taktika
A Kaspersky a RapperBot-ra mutatott rá, mint a rosszindulatú programok egyik példájára, amelyek ritka és néha korábban nem látott technikákat alkalmaznak a terjedéshez.
Egy másik példa a „Rhadamanthys”, egy információlopó, amely a malware-as-a-service opció alatt érhető el egy orosz nyelvű kiberbűnözői fórumon. Az információlopó egyike a növekvő számú rosszindulatú programcsaládnak, amelyet a fenyegetés szereplői rosszindulatú hirdetéseken keresztül terjesztenek.
A taktika azt jelenti, hogy az ellenfelek rosszindulatú programokkal teli hirdetéseket vagy adathalász webhelyekre mutató linkeket tartalmazó hirdetéseket helyeznek el az online hirdetési platformokon. A hirdetések gyakran legitim szoftvertermékekre és -alkalmazásokra vonatkoznak, és olyan kulcsszavakat tartalmaznak, amelyek biztosítják, hogy előkelő helyen szerepeljenek a keresőmotorok eredményei között, vagy amikor a felhasználók bizonyos webhelyeket böngésznek. Az elmúlt hónapokban a fenyegetés szereplői ilyen, úgynevezett malvertisement-eket alkalmaztak a széles körben használt jelszókezelők felhasználóit célozza meg mint például a LastPass, a Bitwarden és az 1Password.
A fenyegetés szereplőinek a rosszindulatú csalásokkal kapcsolatos növekvő sikere a technika használatának növekedését ösztönzi. A Rhadamanthys szerzői például kezdetben adathalász és spam e-maileket használtak, mielőtt rosszindulatú hirdetésekre váltottak volna kezdeti fertőző vektorként.
„A Rhadamanthys semmiben sem különbözik a rosszindulatú hirdetéseket használó kampányoktól” – mondja van der Weil. „Ez azonban része annak a tendenciának, hogy úgy látjuk, a rosszindulatú reklámozás egyre népszerűbb.”
Egy másik trend, amelyet a Kaspersky észlelt: a nyílt forráskódú rosszindulatú programok növekvő használata a kevésbé képzett kiberbűnözők körében.
Vegyük a CueMinert, a GitHubon elérhető érmebányász rosszindulatú programok letöltőjét. A Kaspersky kutatói megfigyelték, hogy a támadók a BitTorrenten vagy a OneDrive megosztási hálózatán keresztül letöltött feltört alkalmazások trójai verzióival terjesztik a kártevőt.
„Nyílt forráskódú jellege miatt mindenki letöltheti és lefordíthatja” – magyarázza van der Weil. "Mivel ezek a felhasználók általában nem túl fejlett kiberbűnözők, viszonylag egyszerű fertőzési mechanizmusokra kell hagyatkozniuk, mint például a BitTorrent és a OneDrive."
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :is
- $ UP
- 2022
- 7
- a
- hozzáférés
- Szerint
- szereplők
- Ad
- hozzáadott
- hirdetések
- fejlett
- Után
- között
- elemzés
- és a
- alkalmazások
- megközelítés
- megfelelő
- alkalmazások
- VANNAK
- AS
- At
- támadás
- szerzők
- elérhető
- alapján
- egyre
- előtt
- BitTorrent
- beépített
- by
- hívott
- Kampányok
- TUD
- képességek
- bizonyos
- Ellenőrzések
- keringő
- kód
- Közös
- távközlés
- képest
- tartalmaz
- repedt
- Hitelesítő adatok
- Jelenleg
- KIBERBŰNÖZŐ
- kiberbűnözők
- leírt
- Határozzuk meg
- eszköz
- különbségek
- különböző
- terjeszteni
- elosztó
- Nem
- letöltés
- e-mailek
- alkalmaz
- Motor
- biztosítására
- Még
- fejlődik
- példa
- Elmagyarázza
- családok
- Funkció
- vezetéknév
- A
- Fortinet
- Fórum
- Negyedik
- ból ből
- funkcionalitás
- kap
- GitHub
- adott
- Növekvő
- Legyen
- Magas
- azonban
- HTTPS
- hatalmas
- lehetetlen
- in
- beleértve
- Növelje
- info
- információ
- kezdetben
- alapvetően
- példa
- integrált
- Intelligens
- Internet
- internet a dolgok
- tárgyak internete
- IoT-eszköz
- IT
- ITS
- maga
- jpg
- Kaspersky
- nyelv
- nagy
- keresztnév
- Tavaly
- LastPass
- legutolsó
- Valószínű
- linkek
- gép
- fenntartása
- malware
- sok
- mód
- hónap
- több
- név
- Természet
- hálózatok
- Új
- szám
- of
- on
- ONE
- online
- nyitva
- nyílt forráskódú
- opció
- Más
- rész
- Jelszó
- Adathalászat
- Adathalász webhelyek
- darab
- Ültetés
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- lehetséges
- korábban
- folyamat
- Termékek
- protokoll
- Negyed
- RITKA
- Inkább
- kapott
- új
- rendszeresen
- viszonylag
- távoli
- távoli hozzáférés
- eltávolított
- helyébe
- kutató
- kutatók
- Eredmények
- mutatják
- orosz
- s
- Mondott
- azt mondja,
- csalások
- Keresés
- kereső
- biztonság
- idősebb
- Szerverek
- Szolgáltatások
- készlet
- megosztás
- jelentősen
- Egyszerű
- Webhely (ek)
- So
- szoftver
- néhány
- némileg
- forrás
- forráskód
- spam
- sebesség
- terjedése
- siker
- ilyen
- felületi
- rendszer
- taktika
- cél
- célzott
- célzás
- technikák
- hogy
- A
- Őket
- Ezek
- dolgok
- fenyegetés
- fenyegetés szereplői
- nak nek
- szerszámok
- Csomagkövetés
- tendencia
- jellemzően
- Ritka
- alatt
- használ
- Felhasználók
- Változat
- fajta
- eladó
- változat
- keresztül
- honlapok
- Mit
- ami
- széles körben
- Vadon
- val vel
- Munka
- év
- te
- zephyrnet