Новый P2P-ботнет атакует роутеры Netgear, D-Link и Huawei

Новый P2P-ботнет атакует роутеры Netgear, D-Link и Huawei

Маршрутизаторы компаний Netgear, D-Link и Huawei стали новой целью для киберпреступников — атакующие используют слабые пароли Telnet для взлома устройств P2P-ботнетом Mozi.

Есть основания полагать, что Mozi каким-то образом связан с вредоносом Gafgyt, поскольку ботнет использует отдельные куски его кода.

За активностью Mozi на протяжении четырёх месяцев наблюдали специалисты компании 360 Netlab. Как выяснили исследователи, основная задача ботнета — осуществлять DDoS-атаки. Mozi задействует DHT (Distributed Hash Table — «распределённая хеш-таблица»), которая обычно используется торрент-клиентами и другими P2P-платформами.

Таким образом, операторам удаётся быстрее установить сеть ботнета без необходимости использовать серверы, а также эффективнее прятать вредоносную составляющую среди нормального DHT-трафика.

«В этом случае детектировать пейлоад просто невозможно без должного знания ситуации», — подчёркивает команда 360 Netlab.

Mozi пытается обеспечить целостность и безопасность своих компонентов и P2P-сети при помощи алгоритмов ECDSA384 и XOR.

Как было отмечено выше, ботнет использует эксплойты для известных уязвимостей и слабые учётные данные. Список атакуемых устройств выглядит так:

Затронутое устройство Уязвимость
Eir D1000 Router
Eir D1000 Wireless Router RCI
Vacron NVR Vacron NVR RCE
Девайсы, использующие Realtek SDK CVE-2014-8361
Netgear R7000 and R6400 Netgear cig-bin (инъекция команды)
DGN1000 Netgear роутеры Netgear setup.cgi (удалённое выполнение кода без аутентификации)
MVPower DVR JAWS Webserver (выполнение команд без аутентификации)
Huawei Router HG532 CVE-2017-17215
Устройства D-Link HNAP SoapAction-Header (выполнение команды)
GPON Routers CVE-2018-10561, CVE-2018-10562
Устройства D-Link UPnP SOAP TelnetD (выполнение команды)
CCTV DVR CCTV/DVR (удалённое выполнение кода)
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Гарда Монитор теперь наделён функцией выявления аномалий в трафике

В апреле 2020 года вышло обновление решения по анализу и расследованию сетевых инцидентов «Гарда Монитор» от российского производителя средств информационной безопасности «Гарда Технологии». Теперь система наделена функцией выявления аномалий в сетевом трафике.

С помощью технологий поведенческой аналитики (EBA — Entity Behavior Analytics) «Гарда Монитор» выявляет существенные отклонения в поведении устройств. Среди них: резкий всплеск объема трафика, увеличение числа сетевых соединений, увеличение количества одновременно используемых уникальных портов. Таким образом, система позволяет обнаруживать использование туннелей SSH, UDP и т.п., работу вредоносных программ в виде бот-сетей, вирусов и т.п., подозрительную активность, такую как единичный всплеск трафика с узла, ошибки в сетевых настройках серверов, рабочих станций и сервисов компании, например, в виде постоянных попыток подключения на недоступный порт.

Для выявления аномалий в сетевом трафике систему нужно настроить и провести ее обучение. Для этого офицеру безопасности необходимо указать наблюдаемые сегменты сети и свойства, по которым требуется выявление отклонений. Система отображает профиль поведения устройства за исследуемый период времени для обнаруженных аномалий.

В системе также появилась функция автоматического обновления репутационных списков, поставляемых центром компетенций по информационной безопасности «Гарда Технологии». С момента внедрения обновлений в комплексе можно получить доступ к актуальной информации об IP-адресах командных центров бот-сетей и URL-адресах вредоносных программ, о фактах обращений к которым система незамедлительно оповещает службу безопасности.

К слову, на прошлой неделе мы опубликовали обзор мирового и российского рынка систем анализа сетевого трафика (NTA).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru