Вредоносное ПО превращает маршрутизаторы в прокси для хакеров
Вредоносное ПО превращает маршрутизаторы в прокси для хакеров. Фото: СС0
Имплантат прошивки, описанный в статье Check Point Research, содержит полнофункциональный бэкдор, который позволяет злоумышленникам устанавливать связь и передавать файлы с зараженными устройствами, удаленно выполнять команды, а также загружать, скачивать и удалять файлы.
Зловред распространяется в виде образов прошивок для роутеров TP-Link. Основная цель вредоносной программы, по-видимому, заключается в ретрансляции трафика между зараженной целью и серверами управления и контроля злоумышленников таким образом, чтобы скрыть источники и адресаты связи.
Исследователи обнаружили имплантат при расследовании серии целенаправленных атак на европейские организации, Главный компонент — бэкдор с внутренним названием Horse Shell.
Три основные функции Horse Shell:
- Удаленная оболочка для выполнения команд на зараженном устройстве
- Передача файлов для загрузки и скачивания файлов на зараженное устройство и с него
- Обмен данными между двумя устройствами с использованием SOCKS5 , протокола для проксирования TCP-соединений с произвольным IP-адресом и предоставления средств для пересылки пакетов UDP.
Функциональность SOCKS5, по-видимому, является конечной целью имплантата. Создавая цепочку зараженных устройств, которые устанавливают зашифрованные соединения только с двумя ближайшими узлами (по одному в каждом направлении), любому, кто наткнется на одно из них, будет трудно узнать источник, конечный пункт назначения или истинную цель заражения.
Из сообщения исследователей Check Point:
«Имплантат может передавать связь между двумя узлами. Таким образом злоумышленники могут создать цепочку узлов, которые будут передавать трафик на сервер управления и контроля. Таким образом злоумышленники могут скрыть окончательное управление и контроль, поскольку каждый узел в цепочке имеет информацию только о предыдущем и следующем узлах, причем каждый узел является зараженным устройством. Только горстка узлов будет знать личность окончательного командования и контроля».
Используя несколько уровней узлов для туннелирования связи, злоумышленники могут скрыть источник и назначение трафика, что затрудняет для защитников отслеживание трафика до C2. Из-за этого защитникам сложнее обнаружить атаку и отреагировать на нее.
Кроме того, цепочка зараженных узлов затрудняет для защитников нарушение связи между злоумышленником и C2. Если один узел в цепочке скомпрометирован или отключен, злоумышленник все еще может поддерживать связь с C2, направляя трафик через другой узел в цепочке.
Исследователи Check Point до сих пор не знают, как вредоносный имплант устанавливается на устройства. Вероятнее всего, злоумышленники либо используют уязвимости в устройствах, либо ищут в Интернете устройства, защищенные слабыми или установленными по умолчанию административными паролями.
Пока единственный обнаруженный образ прошивки работает только на устройствах TP-Link, но ничто не мешает злоумышленникам создавать образы, которые работают на гораздо более широком спектре оборудования. Эта кросс-платформенная возможность является результатом того, что архитекторы имплантатов интегрируют в свой код несколько библиотек с открытым исходным кодом. Библиотеки включают Telnet для удаленной оболочки, libev для обработки событий, libbase32 для кодирования и декодирования двоичных данных base32 и список контейнеров, основанных на смарт-листе TOR .
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было