Новый ботнет Kaiji предназначен для устройств IoT (интернет вещей) и Linux

Ботнет использует SSH атаки для перебора устройств и использует собственный имплант, написанный на языке Go.

Новый ботнет заражает устройства Интернета вещей (IoT) и серверы на основе Linux, чтобы затем использовать их в распределенных атаках типа «отказ в обслуживании» (DDoS). Вредоносное ПО, получившее название Kaiji, было написано с нуля, исследователи говорят, что сегодня это «редкость в мире бот-сетей IoT».

Kaiji, который был обнаружен в конце апреля исследователем безопасности MalwareMustDie и исследователями из Intezer, является уникальным в своем инструментарии, созданном на языке программирования Golang.

Предыдущие типы IoT-вредоносных программ в основном получали свои инструменты из предыдущих ботнетов (включая несколько ботнетов, являющихся вариантами Mirai), которые обычно написаны на языке программирования C или C +.

«Golang является более простым языком для программирования, чем C, и позволяет разработчикам создавать больше кода гораздо проще, чем работать с C, Пол Литвак, исследователь безопасности с Intezer, рассказал. «Иногда проще создать инструмент с нуля, чем редактировать существующий. Разработчик вредоносного ПО, вероятно, чувствовал себя более комфортно с кодом, который он сам написал, а не полагался на существующий материал».

Вместо того чтобы полагаться на использование незакрытых недостатков, Kaiji распространяется исключительно через атаки методом "грубой силы" на общедоступные SSH-серверы, которые допускают аутентификацию SSH на основе паролей, сказал Литвак в своем анализе в понедельник.

Ориентирован только на «корневой» аккаунт, исследователи говорят: «Доступ к root важен для его работы, поскольку некоторые DDoS-атаки доступны только через создание пользовательских сетевых пакетов. В Linux пользовательские сетевые пакеты предоставляются только привилегированному пользователю, например root. »

Как только соединение SSH установлено:

Создается каталог / usr / bin / lib, а затем Kaiji устанавливается под именем «netstat», «ps», «ls» или другим именем системного инструмента.

Kaiji обладает относительно простыми функциями, и на самом деле Литвак говорит, что он считает, что инструмент все еще тестируется, поскольку одна из его функций называет инструмент «демо».

«Вредоносные функции включают в себя различные модули DDoS-атак, модуль brute-forcer SSH для продолжения распространения и другой разбрасыватель SSH, который захватывает локальные ключи SSH для заражения известных хостов, к которым сервер подключался в прошлом, что в свою очередь усложнило защиту информации атакуемых серверов.

После запуска вредоносной программы она копирует себя в / tmp / seeintlog и запускает различные вредоносные операции, включая расшифровку командно-контрольных (C2) адресов и регистрацию вновь зараженного сервера на одном из командных серверов.

Наконец, ботнет получает команды с сервера C2 с инструкциями для конкретных атак DDoS. Ботнет использует различные атаки, в том числе TCP, UDP, SYN и ACK, а также IP-атаки.

Эти типы атак являются общими для ботнетов; Атаки отказа в обслуживании UDP-потока, например, переполняют случайные порты на целевом хосте IP-пакетами, содержащими дейтаграммы протокола пользовательских дейтаграмм (UDP); и TCP SYN DDoS-атаки используют часть обычного способа потреблять ресурсы на целевом сервере.

Исследователи полагают, что ботнет имеет «определенное китайское происхождение», поскольку некоторые функции названы в английском представлении китайских слов.

Kaiji - только один из недавних всплесков штаммов ботнетов, включая Dark_Nexus, MootBot и ботнет DDG.

В отличие от этих ранее обнаруженных ботнетов, Kaiji создал свой собственный инструмент в Голанге, а не с использованием популярных имплантатов, что, по словам исследователей, является растущей тенденцией для разработчиков вредоносных программ.

«Редко можно увидеть ботнет, написанный с нуля, учитывая инструменты, легко доступные злоумышленникам на форумах черного рынка и проектах с открытым исходным кодом.», - сказали тестировщики. «На ранних этапах мы обнаружили новую операцию DDoS, которая была написана с нуля. Это еще одно подтверждение интересной траектории, отмеченной поставщиками, что разработчики вредоносных программ обращаются к современным языкам, таким как Golang, для своих операций».

Безопасность входящих сообщений - ваша лучшая защита от самой быстрорастущей угрозы безопасности - фишинга и компрометации деловой электронной почты.

Будьте внимательны и осторожны – Ваша информационная безопасность в Ваших руках!