Novi botnet ima zabrinjavajuće karakteristike
Hide and Seek botnet mnogo istrajniji od do sada poznatih mreža botova.
Hide and Seek mreža botova koja se širi velikom brzinom sada ima nove mogućnosti. Naime, ona uspeva da obezbedi trajno prisustvo malvera kod velikog broja zaraženih IoT uređaja.
U prošlosti je pouzdan način za eliminisanje malvera kod IoT uređaja bio taj da uređaj isključite pa onda ponovo uključite. Međutim, nova varijanta Hide and Seek malvera ima sposobnost da se trajno zadrži u sistemu IoT uređaja sa različitim hardverima i Linux platformama. Ovaj botnet je prvi put primećen u januaru ove godine, a sada ima dve nove karakteristike: jednu koja je nova za mreže botova i jednu koja je deo šireg trenda kada su u pitanju malveri.
Trajno prisustvo malvera
Nova karakteristika je, dakle, trajno prisustvo malvera u IoT uređaju što je zabrinjavajuće jer uskraćuje timovima zaduženim za bezbednost mogućnost korišćenja uobičajenih odbrambenih mehanizama. Kako bi obezbedio trajno prisustvo, Hide and Seek mora da dobije pristup uređaju preko Telnet mrežnog protokola, koristeći protokol za dobijanje root pristupa uređaju. Sa root pristupom, fajl se smešta u /etc/init.d/ direktorijum odakle se izvršava svaki put kada se uređaj restartuje. Postoji najmanje 10 verzija exe fajlova koje mogu da se pokrenu na 10 različitih varijanti sistema.
Kada novi botnet zarazi dovoljan broj uređaja, to će napadačima koji izvode DDoS napade dati još jednu opciju. Ipak, nova karakteristika botneta neće nužno u kratkom roku napraviti veliki uticaj na DDoS okruženje, s obzirom na to da se većina IoT uređaja retko restartuje i da ih je u svakom slučaju lako ponovo inficirati.
Evolucija u kodu
Što se tiče šireg trenda koji karakteriše današnji svet malvera, Hide and Seek demonstrira značajan razvoj i evoluciju u kodu. Od svog nastanka, ovaj botnet je prošao kroz velike promene, a novi uzorci razvijeni za različite arhitekture su dodavani kao payload. Ova kontinuirana evolucija malvera je posledica demokratizacije pristupa informacijama na internetu. Kada uopšteno govorimo o mreži botova, od pojave Mirai botneta pa do danas viđene su velike promene kao što su „pogađanje default i proširenih lozinki“, kombinovanje koda koji može da funkcioniše na većem broju platformi, dodavanje exploita za iskorišćavanje IoT ranjivosti, dodavanje exploita za peer-to-peer komunikaciju, i konačno, kreiranje mogućnosti za trajno prisustvo u IoT uređajima.
Originalna verzija Hide and Seek malvera je značajna jer je koristila sopstvenu peer-to-peer mrežu za C&C komunikaciju i za komunikaciju novo inficiranih uređaja. Kada se tome doda i sposobnost trajnog prisustva u inficiranom uređaju, Hide and Seek zadaje sve veću glavobolju vlasnicima više od 32.000 inficiranih IoT uređaja, kao i onima koji imaju ranjive, a još uvek nezaštićene uređaje.
Izvor: Dark Reading