Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Желающие создать ботнет Reaper стали жертвами хакеров

Желающие создать ботнет Reaper стали жертвами хакеров


09.11.2017

Желающие создать ботнет Reaper стали жертвами хакеров

Несколько недель назад мир узнал о ботнете Reaper. Он отличается от других тем, что для поиска уязвимых устройств "Интернета вещей" (IoT) его операторы используют IP-сканер, а уже затем с помощью эксплоитов для различных уязвимостей устанавливают на них вредоносное ПО Reaper. К примеру, операторы Mirai и Hajime использовали для взлома IoT-устройств брутфорс-атаки.

 Шумихой вокруг Reaper воспользовался предприимчивый мошенник, сообразивший, что мечтающие стать хакерами скрипт-кидди ринутся в Сеть в поисках инструментов для создания собственных ботнетов. Мошенник создал сайт, рекламирующий IP-сканер. Этот сканер представляет собой PHP-скрипт, читающий IP-адреса из локального текстового файла poop.txt, проверяющий наличие на устройствах сервера GoAhead и записывающий все положительные результаты в файл GoAhead-Filtered.txt.

 Желающие создать свой ботнет заинтересовались скриптом, поскольку с его помощью они могли идентифицировать устройства с серверами GoAhead (как правило, IP-камеры для видеонаблюдения). Малоопытные или невнимательные хакеры, не обратившие внимание на исходный код сканера, могли не заметить, что большая часть PHP-скрипта была обфусцирована с помощью целой стены случайных символов.

 Проблему обнаружил старший исследователь компании NewSky Security Анкит Анубхав (Ankit Anubhav). По словам эксперта, скрипт был зашифрован несколько раз с помощью ROT13 и base64 и сжат с помощью утилиты gzip. После декомпиляции кода Анубхав обнаружил бэкдор, который легко было не заметить из-за обфускации кода.

 Как пояснил исследователь, код состоит из четырех частей. Первая представляет собой обещанный полнофункциональный IP-сканер. Вторая часть запускает команды Bash, добавляющие дополнительного пользователя на Linux-сервер, где жертва выполняла скрипт IP-сканера. Третья часть авторизует IP-адрес жертвы на удаленном сервере. Четвертая часть загружает и выполняет на сервере с установленным IP-сканером вредоносное ПО Kaiten. Таким образом, хакеры, желающие создать собственный ботнет Reaper, становились частью ботнета Kaiten.

 На момент написания новости рекламирующий IP-сканер сайт уже не работал, однако, по словам Анубхава, мошенники продолжают продавать свой продукт на хакерских форумах.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.