9 ноября 2017, SecurityLab.ru

Желающие создать ботнет Reaper скрипт-кидди стали жертвами хакеров

Хакеры, желающие создать собственный ботнет Reaper и скачавшие для этого IP-сканер, могли загрузить на свои системы немного больше, чем им хотелось бы.
Несколько недель назад мир узнал о ботнете Reaper. Он отличается от других тем, что для поиска уязвимых устройств «Интернета вещей» (IoT) его операторы используют IP-сканер, а уже затем с помощью эксплоитов для различных уязвимостей устанавливают на них вредоносное ПО Reaper. К примеру, операторы Mirai и Hajime использовали для взлома IoT-устройств брутфорс-атаки.
Шумихой вокруг Reaper воспользовался предприимчивый мошенник, сообразивший, что мечтающие стать хакерами скрипт-кидди ринутся в Сеть в поисках инструментов для создания собственных ботнетов. Мошенник создал сайт, рекламирующий IP-сканер. Этот сканер представляет собой PHP-скрипт, читающий IP-адреса из локального текстового файла poop.txt, проверяющий наличие на устройствах сервера GoAhead и записывающий все положительные результаты в файл GoAhead-Filtered.txt.
Желающие создать свой ботнет заинтересовались скриптом, поскольку с его помощью они могли идентифицировать устройства с серверами GoAhead (как правило, IP-камеры для видеонаблюдения). Малоопытные или невнимательные хакеры, не обратившие внимание на исходный код сканера, могли не заметить, что большая часть PHP-скрипта была обфусцирована с помощью целой стены случайных символов.
Проблему обнаружил старший исследователь компании NewSky Security Анкит Анубхав (Ankit Anubhav). По словам эксперта, скрипт был зашифрован несколько раз с помощью ROT13 и base64 и сжат с помощью утилиты gzip. После декомпиляции кода Анубхав обнаружил бэкдор, который легко было не заметить из-за обфускации кода.
Как пояснил исследователь, код состоит из четырех частей. Первая представляет собой обещанный полнофункциональный IP-сканер. Вторая часть запускает команды Bash, добавляющие дополнительного пользователя на Linux-сервер, где жертва выполняла скрипт IP-сканера. Третья часть авторизует IP-адрес жертвы на удаленном сервере. Четвертая часть загружает и выполняет на сервере с установленным IP-сканером вредоносное ПО Kaiten. Таким образом, хакеры, желающие создать собственный ботнет Reaper, становились частью ботнета Kaiten.
На момент написания новости рекламирующий IP-сканер сайт уже не работал, однако, по словам Анубхава, мошенники продолжают продавать свой продукт на хакерских форумах.
Оставить комментарий

Главное по темам

«ТрансФин-М» заключила соглашение о сотрудничестве с угледобывающей компаней «Колмар»

17:01

«Метида» не смогла оспорить в Верховном суде штраф за скандальную рекламу с розгами

17:01

Совфед одобрил ужесточение наказания для живодеров

17:00

«Он мне надоел». Почему курянин решился на убийство немощного старика

17:00

Судебная система Башкортостана отмечает 95-летний юбилей со дня основания

17:00

Видеоновости

Статьи

По секрету: «В России всё можно»

Раскрываем для вас «секреты» в подборке деловой прессы: Хакеры и тролли Почему Россию обвиняют во взломе политической системы США Маски-шоу для бизнесменов Зачем богачи и деловые люди надевают дурацкие костюмы…

«Калашников» против М16: США нацелены на Афганистан

Озвученные главой российского МИД Сергеем Лавровым требования Вашингтона Кабулу заменить бесплатно переданные автоматы Калашникова (АК) на американские винтовки, ‍ вызваны как экономическими, так и политическими причинами.

Без пробега. Зачем РФ самолет с вертикальным взлетом

Одна из самых дорогих «игрушек» Пентагона — истребитель-бомбардировщик F-35B — на этой неделе принял участие в совместных американо-японских учениях, направленных на охлаждение ракетно-ядерного пыла КНДР.

«Россия доказала, что ее проекты нельзя пустить под откос»

Проект «Ямал СПГ» по производству сжиженного газа в Арктике стал победой России над американскими санкциями. Об этом сообщает Bloomberg со ссылкой на западных аналитиков.

Нужна ли Украине Польша

Они думали, что всё это бесплатно. Теперь даже обещание польского президента оказывать Киеву поддержку в ООН, где Варшава должна в следующем году сменить Киев в качестве непостоянного члена Совета Безопасности…

Фоторепортажи