Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

cDJlyKUAoIbUdDIeW4yfQ51RXW8ipdQd8hGluTra.jpeg

 

Цього тижня було виявлено новий сплеск активного сканування і зараження пристроїв Інтернету речей за допомогою ботнету Satori.

Satori – ботнет на основі Mirai, вперше виявлений дослідженнями безпеки від Qihoo 360 Netlab, які представили аналіз нового варіанту Satori на своєму сайті (https://blog.netlab.360.com/botnets-never-die-satori-refuses-to-fade-away-en/).

 

XiongMai:

Код, який недавно включили в ботнет Satori використовує вразливість переповнення буферу  в пристроях XiongMai uc-httpd 1.0.0 (CVE-2018-10088). Вразливість дозволяє зловмиснику відправити спотворений пакет через порти 80 та 8000 і виконати код на пристрої, ефективно його перехопити.

 

Включення вразливості D-Link:

Також виявлено ще одне оновлення Satori. Це був хробак призначений для пристрою D-Link DSL-2750b,  вразливість була опублікована тут (https://www.exploit-db.com/exploits/44760/). Вразливість використовується для зараження маршрутизаторів  D-Link DSL-2750b.

 

Методи атаки:

Атака використовує вразливість RCE (Віддалене виконнання коду), в результаті чого запускає команду wget для завантаження віддаленого сценарію, розміщеного на веб-сервері за адресою 185.62.190.191.

 

Пізніше був видалений сервер завантаження, але було виявлено таку ж активність з сервера 95.215.169.

 

Використання заражених пристроїв для DDoS-атак.

Оскільки Satori виникла з ботнету Mirai, вона також має функціонал для проведення DDoS-атак.

  • UDP Flood
  • SYN Flood
  • TCP_ACK Flood
  • GRE Flood

Новий варіант Satori вже запустив як мінімум дві DDoS-атаки, які були зареєстровані системою DDosMon:

  • 2018-06-13 21:09:00 : TCP_ACK_FLOOD->(144.217.47.56:25565) (https://ddosmon.net/explore/144.217.47.56)
  • 2018-06-14 23:00:00 : UDP_FLOOD -> (185.71.67.43:53) (https://ddosmon.net/explore/185.71.67.43)

 

Рекомендації:

  • Власникам вразливих маршрутизаторів продивитися журнальні файли мережевих пристроїв на факт підключення до шкідливих доменів та ІР.
  • Якщо підключення були, власникам мережевих пристроїв необхідно невідкладно здійснити їх перезавантаження та скинути їх налаштування до налаштувань за замовченням.
  • Оновити мережеві пристрої до актуальних версій прошивок. Інформація про оновлення та актуальні версії знаходиться на офіційних сайтах виробників.

 

Індикатори компрометації (IOC)

Шкідливі домени та ІР (С2):

185.62.190.191                         Satori Downloader 
180.101.204.161:48101            Satori Report 
95.215.62.169:5600                  Satori C2 
i.rippr.cc                                    Satori C2 listed in this host's DNS TXT record
r.rippr.cc                                    Satori Reporter listed in this host's DNS TXT record 
123.207.251.95

 

Шкідливі файли:

f6568772b36064f3bb58ac3aec09d30e        hXXp://123.207.251.95:80/bins/arm 

f6568772b36064f3bb58ac3aec09d30e        hXXp://123.207.251.95:80/bins/arm7 

f6568772b36064f3bb58ac3aec09d30e        hXXp://185.62.190.191/arm.bot.le

https://www.virustotal.com/#/file/495d...1312/detection

 

99f13d801c40f23b19a07c6c77402095        hXXp://123.207.251.95:80/bins/mpsl 

99f13d801c40f23b19a07c6c77402095        hXXp://185.62.190.191/mipsel.bot.le 

 

e337d9c99bfe2feef8949f6563c57062          hXXp://123.207.251.95:80/bins/arm7 

e337d9c99bfe2feef8949f6563c57062          hXXp://185.62.190.191/arm7.bot.le 

https://www.virustotal.com/#/file/25ee...a8e/detection

 

f8d1d92e9b74445f2a0d7f1feb78d639         hXXp://123.207.251.95:80/bins/arm 

f8d1d92e9b74445f2a0d7f1feb78d639         hXXp://185.62.190.191/arm.bot.le 

 

656f4a61cf29f3af54affde4fccb5fd0            hXXp://185.62.190.191/x86_64.bot.le 

 

31a40e95b605a93f702e4aa0092380b9        hXXp://185.62.190.191/i686.bot.le 

https://www.virustotal.com/#/file/a3c5...282/detection

 

426f8281d6599c9489057af1678ce468        hXXp://185.62.190.191/arm7.bot.le 

https://www.virustotal.com/#/file/e63...8d1d6/detection

 

44133462bd9653da097220157b1c0c61      hXXp://185.62.190.191/arm.bot.le 

476cd802889049e3d492b8fb7c5d09ed       hXXp://185.62.190.191/mipsel.bot.le 

https://www.virustotal.com/#/file/237...5622/detection

 

Корисні посилання:

https://blog.netlab.360.com/botnets-never-die-satori-refuses-to-fade-away-en/

https://security.radware.com/ddos-threats-attacks/threat-advisories-attack-reports/satori-iot-botnet/

Повідомити про інцидент