Logo Zephyrnet

Generative Data oye

Cyber ​​Security

Orisirisi Botnets Pummel Aṣiṣe TP-Link Ọdun-atijọ ni Awọn ikọlu IoT

Ti tẹjade nipasẹ Plato
Ti tẹjade nipasẹ Plato

ọjọ:

wiwo: 79

Nọmba awọn botnets kan n fa ailagbara-abẹrẹ aṣẹ-aṣẹ ti o ti fẹrẹ ọdun kan ni awọn onimọ-ọna TP-Link kan lati ba awọn ẹrọ jẹ fun awọn ikọlu ipinpinpinpinpin IoT (DDoS).

Patch tẹlẹ wa fun abawọn, tọpinpin bi CVE-2023-1389, ti a rii ni wiwo iṣakoso wẹẹbu ti TP-Link Archer AX21 (AX1800) Wi-Fi olulana ati awọn ẹrọ ti o ni ipa Version 1.1.4 Kọ 20230219 tabi ṣaaju.

Sibẹsibẹ, awọn oṣere irokeke n lo anfani ti awọn ẹrọ ti a ko pa lati fi ọpọlọpọ awọn botnets ranṣẹ - pẹlu Moobot, Miori, AGoent, a Gafgyt iyatọ, ati awọn iyatọ ti Mirai botnet ailokiki - ti o le ṣe adehun awọn ẹrọ fun DDoS ati siwaju sii iṣẹ-ṣiṣe aiṣedeede, ni ibamu si ipolowo bulọọgi kan lati Fortiguard Labs Irokeke Iwadi.

“Laipẹ, a ṣe akiyesi awọn ikọlu pupọ ti o dojukọ ailagbara ti ọdun yii,” eyiti o ti lo tẹlẹ nipasẹ awọn in Mirai botnet, ni ibamu si ifiweranṣẹ nipasẹ awọn oluwadi Fortiguard Cara Lin ati Vincent Li. Fortiguard's IPS telemetry ti ṣe awari awọn oke ijabọ pataki, eyiti o ṣe akiyesi awọn oniwadi si iṣẹ irira, wọn sọ.

Aṣiṣe naa ṣẹda oju iṣẹlẹ kan ninu eyiti ko si imototo ti aaye “Orilẹ-ede” ti wiwo iṣakoso olulana, “nitorinaa ikọlu le lo nilokulo fun awọn iṣẹ irira ati ki o ni ipasẹ,” ni ibamu si TP-Link's aabo Advisory fun abawọn.

“Eyi jẹ ailagbara-abẹrẹ aṣẹ-aṣẹ ti ko ni ifọwọsi ni ‘agbegbe’ API ti o wa nipasẹ wiwo iṣakoso wẹẹbu,” Lin ati Li salaye.

Lati lo nilokulo, awọn olumulo le beere fọọmu pàtó kan “orilẹ-ede” ati ṣe iṣẹ “kọ” kan, eyiti o jẹ itọju nipasẹ iṣẹ “set_country”, awọn oniwadi salaye. Iṣẹ yẹn n pe iṣẹ “merge_config_by_country” ati pe o ṣajọpọ ariyanjiyan ti fọọmu pàtó kan “orilẹ-ede” sinu okun aṣẹ. Okun yii lẹhinna ṣiṣẹ nipasẹ iṣẹ “popen”.

"Niwọn igba ti aaye 'orilẹ-ede' kii yoo sọ di ofo, olukolu le ṣe aṣeyọri abẹrẹ aṣẹ," awọn oluwadi kọwe.

Botnets si idoti

Imọran TP-Link nigbati abawọn ti han ni ọdun to kọja pẹlu ijẹwọ ilokulo nipasẹ Mirai botnet. Ṣugbọn lati igba naa awọn botnets miiran bi daradara bi ọpọlọpọ awọn iyatọ Mirai tun ti doti si awọn ẹrọ ti o ni ipalara.

Ọkan jẹ Agoent, bot oluranlowo ti o da lori Golang ti o kọlu nipa gbigba akọkọ faili iwe afọwọkọ “exec.sh” lati oju opo wẹẹbu ti o ṣakoso ikọlu, eyiti o gba awọn faili Executable ati Ọna asopọ Ọna asopọ (ELF) ti oriṣiriṣi awọn ipilẹ-orisun Linux.

Botilẹyin lẹhinna ṣe awọn ihuwasi akọkọ meji: akọkọ ni lati ṣẹda orukọ olumulo ati ọrọ igbaniwọle olupin nipa lilo awọn ohun kikọ laileto, ati ekeji ni lati fi idi asopọ mulẹ pẹlu aṣẹ ati iṣakoso (C2) lati kọja lori awọn iwe-ẹri ti o ṣẹda nipasẹ malware fun gbigba ẹrọ, awọn oluwadi sọ.

Botnet kan ti o ṣẹda kiko iṣẹ (DoS) ni awọn ile-itumọ Linux ti a pe ni iyatọ Gafgyt tun n kọlu abawọn TP-Link nipa gbigba lati ayelujara ati ṣiṣe faili iwe afọwọkọ kan ati lẹhinna mu awọn faili ipaniyan faaji Linux pada pẹlu orukọ faili prefix “atunbi.” Botnet lẹhinna gba IP ti o gbogun ati alaye faaji, eyiti o ṣajọpọ sinu okun ti o jẹ apakan ti ifiranṣẹ asopọ akọkọ rẹ, awọn oniwadi salaye.

"Lẹhin ti iṣeto asopọ pẹlu olupin C2 rẹ, malware gba aṣẹ 'PING' ti nlọsiwaju lati ọdọ olupin naa lati rii daju pe itẹramọṣẹ lori ibi-afẹde ti o ni ipalara," awọn oluwadi kọwe. Lẹhinna o duro de ọpọlọpọ awọn aṣẹ C2 lati ṣẹda awọn ikọlu DoS.

Botnet ti a pe ni Moobot tun n kọlu abawọn lati ṣe awọn ikọlu DDoS lori awọn IPs latọna jijin nipasẹ aṣẹ kan lati ọdọ olupin C2 ti ikọlu, awọn oniwadi naa sọ. Lakoko ti botnet fojusi ọpọlọpọ awọn faaji ohun elo IoT, awọn oniwadi Fortiguard ṣe itupalẹ faili ipaniyan botnet ti a ṣe apẹrẹ fun “x86_64” faaji lati pinnu iṣẹ ṣiṣe ilokulo rẹ, wọn sọ.

A iyatọ Mirai tun n ṣe awọn ikọlu DDoS ni ilokulo ti abawọn nipasẹ fifiranṣẹ apo kan lati olupin C&C lati ṣe itọsọna aaye ipari lati bẹrẹ ikọlu naa, awọn oniwadi ṣe akiyesi.

“Aṣẹ ti o pato jẹ 0x01 fun iṣan omi orisun Valve (VSE), pẹlu iye akoko iṣẹju 60 (0x3C), ti o fojusi adiresi IP olufaragba ti a yan laileto ati nọmba ibudo 30129,” wọn ṣalaye.

Miori, iyatọ Mirai miiran, tun ti darapọ mọ fray lati ṣe awọn ikọlu ipa-ipa lori awọn ẹrọ ti o gbogun, awọn oniwadi ṣe akiyesi. Ati pe wọn tun ṣe akiyesi awọn ikọlu nipasẹ Condi ti o wa ni ibamu pẹlu ẹya ti botnet ti o ṣiṣẹ ni ọdun to kọja.

Ikọlu naa ṣe idaduro iṣẹ naa lati ṣe idiwọ awọn atunbere nipasẹ piparẹ awọn alakomeji ti o ni iduro fun tiipa tabi atunbere eto naa, ati ṣayẹwo awọn ilana ti nṣiṣe lọwọ ati awọn itọkasi agbelebu pẹlu awọn okun ti a ti pinnu tẹlẹ lati fopin si awọn ilana pẹlu awọn orukọ ti o baamu, awọn oniwadi naa sọ.

Patch & Daabobo lati yago fun DDoS

Awọn ikọlu botnet ti o lo awọn abawọn ẹrọ lati dojukọ awọn agbegbe IoT jẹ “alainidii,” ati nitorinaa awọn olumulo yẹ ki o ṣọra si awọn botnets DDoS,” awọn oniwadi ṣe akiyesi. Lootọ, awọn ọta IoT n ṣe ilọsiwaju awọn ikọlu wọn nipasẹ pouncing lori unpatched ẹrọ awọn abawọn lati siwaju wọn fafa kolu agendas.

Awọn ikọlu lodi si awọn ẹrọ TP-Link le dinku nipasẹ lilo alemo ti o wa fun awọn ẹrọ ti o kan, ati pe iṣe yii yẹ ki o tẹle fun eyikeyi awọn ẹrọ IoT miiran “lati daabobo awọn agbegbe nẹtiwọọki wọn lati ikolu, ni idilọwọ wọn lati di awọn bot fun awọn oṣere irokeke irira,” oluwadi kọ.

Fortiguard tun wa ninu ifiweranṣẹ rẹ ọpọlọpọ awọn afihan ti adehun (IoCs) fun awọn ikọlu botnet ti o yatọ, pẹlu awọn olupin C2, URL, ati awọn faili ti o le ṣe iranlọwọ fun awọn oludari olupin lati ṣe idanimọ ikọlu kan.

iranran_img

VC Kafe

Oluwadi Venture

VC Kafe

Oluwadi Venture

Titun oye

iranran_img

Aṣẹ-lori-ara @ 2024 Plato Technologies Inc.