SecurityLab.ru 9 ноября 2017

Желающие создать ботнет Reaper скрипт-кидди стали жертвами хакеров

Хакеры, желающие создать собственный ботнет Reaper и скачавшие для этого IP-сканер, могли загрузить на свои системы немного больше, чем им хотелось бы.
Несколько недель назад мир узнал о ботнете Reaper. Он отличается от других тем, что для поиска уязвимых устройств «Интернета вещей» (IoT) его операторы используют IP-сканер, а уже затем с помощью эксплоитов для различных уязвимостей устанавливают на них вредоносное ПО Reaper. К примеру, операторы Mirai и Hajime использовали для взлома IoT-устройств брутфорс-атаки.
Шумихой вокруг Reaper воспользовался предприимчивый мошенник, сообразивший, что мечтающие стать хакерами скрипт-кидди ринутся в Сеть в поисках инструментов для создания собственных ботнетов. Мошенник создал сайт, рекламирующий IP-сканер. Этот сканер представляет собой PHP-скрипт, читающий IP-адреса из локального текстового файла poop.txt, проверяющий наличие на устройствах сервера GoAhead и записывающий все положительные результаты в файл GoAhead-Filtered.txt.
Желающие создать свой ботнет заинтересовались скриптом, поскольку с его помощью они могли идентифицировать устройства с серверами GoAhead (как правило, IP-камеры для видеонаблюдения). Малоопытные или невнимательные хакеры, не обратившие внимание на исходный код сканера, могли не заметить, что большая часть PHP-скрипта была обфусцирована с помощью целой стены случайных символов.
Проблему обнаружил старший исследователь компании NewSky Security Анкит Анубхав (Ankit Anubhav). По словам эксперта, скрипт был зашифрован несколько раз с помощью ROT13 и base64 и сжат с помощью утилиты gzip. После декомпиляции кода Анубхав обнаружил бэкдор, который легко было не заметить из-за обфускации кода.
Как пояснил исследователь, код состоит из четырех частей. Первая представляет собой обещанный полнофункциональный IP-сканер. Вторая часть запускает команды Bash, добавляющие дополнительного пользователя на Linux-сервер, где жертва выполняла скрипт IP-сканера. Третья часть авторизует IP-адрес жертвы на удаленном сервере. Четвертая часть загружает и выполняет на сервере с установленным IP-сканером вредоносное ПО Kaiten. Таким образом, хакеры, желающие создать собственный ботнет Reaper, становились частью ботнета Kaiten.
На момент написания новости рекламирующий IP-сканер сайт уже не работал, однако, по словам Анубхава, мошенники продолжают продавать свой продукт на хакерских форумах.
Комментарии
Читайте также
Английская писательница Анна Бернс стала лауреатом Букеровской премии
Яхту омского депутата выбросило на берег Испании
Лига наций. Франция — Германия — 2:1, 16 октября 2018, обзор матча
Английская писательница Анна Бернс стала лауреатом Букеровской премии
Последние новости
Эксперты выявили разницу между русскими и китайскими подпольными форумами
Опубликован эксплойт для критической уязвимости в Microsoft Edge
В промышленном оборудовании Siemens выявлен ряд уязвимостей