Аналитики китайской компании Qihoo 360 Netlab обнаружили новый ботнет ZHtrap, который превращает зараженные маршрутизаторы, DVR и прочие UPnP-устройства в приманки, которые помогают ему находить следующие цели для заражения.

ZHtrap основан на коде IoT-малвари Mirai и поддерживает архитектуры x86, ARM, MIPS и так далее.

Захватив устройство, ZHtrap предотвращает атаки других внедоносов с помощью белого списка, который разрешает только уже запущенные системные процессы, блокируя все остальное. Для связи с другими ботами он использует управляющие серверы, расположенные в Tor, а также Tor-прокси для сокрытия вредоносного трафика.

Основные цели ботнета: организация DDoS-атак и поиск новых уязвимых устройств для заражения. Кроме того, ZHtrap  обладает функциями бэкдора, что позволяет его операторам загружать и выполнять дополнительные пейлоады.

Для распространения ZHtrap использует эксплоиты, нацеленные на четыре известные уязвимости в составе Realtek SDK Miniigd UPnP SOAP, MVPower DVR, Netgear DGN1000 и множестве моделей различных CCTV-DVR. Также малварь ищет устройства со слабыми паролями от Telnet и делает это по списку случайно сгенерированных IP-адресов, а также адресов, которые собирает с помощью специальных приманок (honeypot).

Создание приманок, пожалуй, является главной отличительной чертой ZHtrap. Малварь использует их для сбора IP-адресов устройств, которые могут быть уязвимы для его атак или уже заражены другим вредоносным ПО. Так, после установки приманка ZHtrap прослушивает список из 23 портов и отправляет все подключившиеся к ним IP-адреса в свой сканер в качестве возможных жертв для будущих атак.

Архитектура ZHtrap

 «Ханипоты обычно используются ИБ-исследователями в качестве инструмента для перехвата атак, обнаружения сканов, эксплоитов и образцов [малвари]. Мы обнаружили, что ZHtrap применяет похожую технику, интегрировав ее с собственным модулем сканирования IP-адресов. Собранные IP-адреса в итоге используются в качестве целей для атак», — пишут эксперты Qihoo 360 Netlab.

Оставить мнение