剑客
关注科技互联网

MalwareMustDie发现了一个新的物联网的Linux / irctelnet意大利制造的恶意软件

独家:安全研究员MalwareMustDie发现 一个新的Linux / IRCTelnet恶意软件 —意大利制造的目标是物联网僵尸网络通过IRC和Telnet连接。 它能够生成一个IPv6 DDoS和执行Mirai无法覆盖的新危险的能力。

在简短的采访中对MalwareMustDie集团安全事务”unixfreakjp解释这是主要特点,为了能够对抗这种新的恶意软件的一个合适的安全意识。

升级后的未来更加明确了新的景观和DDoS攻击非常有利的环境将越来越密集的,在不久的将来,物联网设备通常没有足够的质量控制和质量的缺陷,可以很容易地利用控制。

然而,在最近的时间里,我们已经了解到,物联网往往是通过使用暴力攻击,成功也因为物联网设备部署,因为我们在其他地方说,不改变默认凭据。

这正是Mirai的计划,正如我们所描述的 过去的文章

然而,我们这里说的是新的东西,在现在世界著名白帽研究员发现该恶意软件和逆向工程的最后一篇辉煌的描述。

事实上,在他的文章他指定新IRC僵尸网络精灵恶意软件是肯定有Tsunami/Kaiten protocol协议的规范,但记录” 以不同方式添加一些更多的功能在消息传递和恶意攻击向量 ”。

在这个新意大利的IRC僵尸网络恶意软件由精灵新的和经典的具有爆炸性的混合

这里的语法大纲的新的Linux / irctelnet恶意软件的关键点(bot客户端)具有以下特点和概念方案:

1)设计 攻击物联网 使用telnet协议,是的现在物联网是新的富庶之乡,我们知道,

2)使用 telnet扫描仪 在过去由GayFgt / Torlus / Lizkebab / Bashdoor / Bashlite我们报告一个重建的C代码快照:

图1 telnet扫描仪。

3)使用 Mirai 泄露 证书列表和暴力 密码字典硬编码的二进制代码表示如下:

图2。 bruteforce密码字典

4)使用联合制作的概念( 使用IRC协议 )从恶意C&C IRC服务器通过发送命令。 下面我们报告日志由@unixfreakjp使用PoC实现解码的价值观和行为恶意软件。

图3。 IRC C&C服务器日志

5)它是在意大利制造的:在一些其他的证据中,有一些意大利的字符串内的二进制代码,包含意大利的话,如图所示。我们知道他攻击感染这个僵尸网络是从2016年10月25日开始

图4。 意大利消息在二进制代码的新Linux / IRCTelnet恶意软件。

我们想要强调的崇高地位MalwareMustDie贴在他的博客上公开表示,他没有想要包含在这个新的恶意软件的代号意大利国家无关。

但是让我们快速分析恶意软件的新功能,因为有一些完全新的当然吓到。

第一次使用IPv6的目标物联网(机器人)的IP欺骗

在反向阶段,在新的恶意软件已经发现了一个发电机的“TCP6”和“UDP6”相关数据包,可以选择“spoof6”编码。

这似乎是第一次 IPv6 以来一直用于目标物联网和现在可以生成DDoS攻击 欺骗 哪里是不可能认识到受感染的机器的IP。

重构代码相关的洪水看起来坏,似乎很多” DoS攻击组合计划 ”。

图5。 DDoS攻击序列的Linux / IRCTelnet恶意软件

评论@unixfreaxjp MawareMustDie新 IPv6 能力是“ 这个僵尸网络攻击(DDoS)的IPv4和IPv6支持数据包通过攻击生成器发送功能 sendV4() sendV6() ”,在攻击,还有另一个功能,是“ 欺骗IP地址也是在IPv4和IPv6的形式完成的 “这是真的吓到。

以下是报道洪水在IPV6生成函数:

图6。 反向洪水生成函数的IPv6

然后我们可以说这个新功能的重点是基于IPv6的洪水和多篇文章的作者要求自己,和所有的安全研究员社区:“我们现在准备处理物联网IPv6 DDoS”?

图7。 Reddit讨论IPv6

这是重要的时刻和未来的挑战:但我们去面试,@unixfreakjp MalwareMustDie几小时前发布的安全事务。

第一个问题:

  1. 你认为Linux / IRCTelenet比Mirai更危险?
  2. Mirai以自己的方式是危险的。 新DDoS攻击功能,意识低、难以获取样本。 还与AV,没有使用MIRAI作为新的恶意软件名字但棍子和一个老的名字…这是降低安全警报的反应。 所以当它重创,人们会惊讶。

这个Linux / IRCTelnet,如果被忽视根据Mirai发生的事情,也可以是一个危险的威胁。 这是第一个恶意软件运行在IRC数控使用telnet扫描仪来感染其他的物联网,并瞄准物联网,由于脆弱的向量,向量。

所以,我不要说Linux / IRCTelnet比Mirai更危险。 他们每个人都有自己的危险的向量,这取决于我们如何应对处理这一威胁

第二个问题:

  1. IP欺骗的能力”选择在IPv4和IPv6”?
  2. 当感染物联网进行攻击,在例子中,通过UDP6或TCP6,Linux / IRCTelnet是有选择的源IP欺骗攻击者(本身的IP)没有揭示原始IP数据包生成用于洪水的目标

这支持IPv6欺骗和攻击。 这是很重要的,因为没有DDOS僵尸网络编码和设计达到服务的IPv6。

第三个问题:

  1. 你怎么知道这个新的僵尸网络的可用的机器人是3500呢?
  2. 一个 。 我给你一个图:

这是IRC服务器的日志,当你看到3486个“用户”是当时连接。

关于作者: Odisseus

独立安全研究员参与意大利和全世界的主题相关的黑客,渗透测试和开发。

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址