Ботнет

Гуляя по просторам города Матрицы, вы можете столкнуться с Котом, представителем Мохнатого IoT Котнета :

Клиентом IoT - Котом (Cat) отвечающим за донат в любых его проявлениях, вплоть до покупки пожизненного абонемента.

В зависимости от триггерного состояния кото-клиента он может как сам инициировать соединение с кожанным "по воздуху" или тактильно,

так и игнорировать в случае гибернации или занятого сетевого порта.

Для принудительного соединения с мохнатым клиентом вам нужно войти в зону уверенного приема сигнала, установить зрительный контакт и вбросить в эфир ноосферы звуковой пинг - "Кис-Кис"

для последующего просмотра таблицы ARP с возможным откликом по протоколу UDP - "Мяу". Как только вы увидете в ней MAC адрес кото-клиента, можете попробовать установить TCP соединение, для этого вам потребуется команда telnet кото-клиент погладить-по-голове 23

При успешном соединении вы получаете возможность handshake - "почесывание-за-ухом" и несколько из доступных команд без доверительного сертификата "разговор-с-котом", "дать-пожрать", "покупка-абонемента" и многие другие. Для последующего доверительного соединения с кото-клиентом не рекоммендутся обрывать связь путем "пошел-на-хой-шерстяной-мудак" или резким выходом из терминала "пинок-шерстяного-мудака"

а просто удалиться на достаточное растояние для потери сигнала. Однако возможно и прерывание сеанса со стороны Кота

В последующие разы, увидев данного кото-клиента достаточно команды ping привет-котэ и подношений в виде корма, сосиски, колбаски.

Ну и собственно прилагаю схему Кота

Расскажу забавный случай. Дело было этой весной. Кризис, рекламный рынок упал, СМИ хватаются за любого клиента.

Вдруг пишет продюсер популярного Youtube-канала: надо сделать рекламу для компании VIA Software. Она российская, но после кризиса переехали в Дубаи. Цель рекламы — повышение узнаваемости бренда в СНГ. Требуется попиарить бесплатную программу Windows Optimizer, привлечь на сайт — ну а там уже есть и платные продукты типа криптокошельков и прочего.

Казалось бы, самый обычный заказ. Зашел на сайт. Ссылки на установки ведут в никуда, пишет Forbidden. Ну ладно, может только подняли, еще ничего не готово. Все равно не собирался сам ее запускать. Надо посмотреть что другие о ней пишут. Погуглил — и озадачился. Есть программы с очень похожими названиями, но конкретно такой нет. Ну ладно, может еще не вышла. Но все же на всякий случай поискал информацию на компанию. Нашел несколько фирм которые называются точно также, но ни одна на заказчика не похожа. И тут у меня включилась паранойя.

Расширил поиск, начал искать регистрационные данные фирмы в Дубаях, в том числе на арабском языке. Зашел на сайт в раздел «Наша команда». Там куча фоточек расово-разнообразных и гендерно инклюзивных товарищей. Пробил их через сервис реверс-поиска изображений. Оказалось, все фото стоковые. Вариантов было два: или вся их команда подрабатывает моделями в фотобанках. Или кто-то возомнил себя сильно умным.

В итоге сообщил о своих подозрениях продюсеру, и этим товарищам в размещении рекламы отказали. Позже вспомнил, решил еще раз зайти — но все ссылки, которые нам дали, были уже мертвые.

В общем, похоже, моя паранойя в одиночку отбила хорошо подготовленную хакерскую атаку, нацеленную на массовую российскую аудиторию. У товарищей был и сайт, и фальшивые программы, и бюджет на рекламу. Если бы они знали как обрабатываются рекламные заказы, атака была бы успешной на 100%, и моя подозрительность даже не шелохнулась бы.

Никогда не думал что вдруг окажусь в окопе на передовой ведущейся кибервойны. Но похоже, шанс на это теперь есть у всех. Времена наступают такие, когда кибербезопасность — это не где-то там, а где-то здесь и касается всех и каждого.

В середине июня 2018 года известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) в очередной раз обратил внимание на то, что многие производители смартфонов на Android оставляют функциональность Android Debug Bridge (ADB) включенной по умолчанию, что подвергает устройства опасности, в том числе и удаленной. Дело в том, что опция ADB over WiFi позволяет разработчикам так же подключаться к гаджету через Wi-Fi, без использования USB-кабеля.

В целом эту проблему нельзя назвать новой. Еще в феврале 2018 года аналитики Qihoo 360 Netlab обнаруживали малварь ADB.miner, которая сканировала сеть в поисках устройств с открытыми отладочными портами ADB (чаще всего это порт 5555). Так как под управлением Android работают не только смартфоны и планшеты, заражению также подвергались, к примеру, «умные» телевизоры и различные приставки для ТВ.

Немногим больше месяца назад Бомонд обнаружил, что во многих гаджетах прямо «из коробки» активна функциональность ADB over WiFi, о чем их владельцы, как правило, даже не догадываются. Так как поисковик Shodan недавно добавил возможность поиска устройств с доступным интерфейсом Android Debug Bridge, теперь индекс таких гаджетов стремительно растет с каждым днем. В июне Бомонд обнаружил более 80 000 проблемных устройств в одном только Китае.

Теперь о новой волне атак на уязвимые гаджеты с открытыми портами ADB сообщили аналитики компании Trend Micro. По информации специалистов, новая волна сканирований началась 9-10 июля 2018 года, и большая часть трафика исходила из Китая и США. Начиная с 15 июля, к атакам также присоединились и корейские IP-адреса.

Исследователи рассказывают, что обнаружив уязвимое устройство, злоумышленники передают на него (через ADB) shell-скрипт, который, в свою очередь, загружает еще один специальный shell-скрипт, предназначенный для второй стадии атаки и ответственный за запуск вредоносных бинарников третьей стадии.

После успешного заражения устройства, малварь ликвидирует ряд опасных для себя процессов и запускает собственные дочерние процессы, один из которых позволяет ей распространяться далее, подобно червю. Также вредонос связывается с управляющим сервером, расположенным по адресу 95[.]215[.]62[.]169. Ранее этот адрес уже встречался экспертам, так как был связан с работой ботнета Satori.

По данным аналитиков Trend Micro, пейлоад малвари предназначается для организации DDoS-атак (может использовать UDP, TCP SYN, TCP ACK и так далее). Учитывая связь, обнаруженную между этой вредоносной кампанией и ботнетом Satori, эксперты полагают, что за всем этим стоит один и тот же хакер или хакерская группа, и кто-то строит таким образом новый ботнет.

Так как малварь обладает потенциалом червя, исследователи предполагают, за этой кампанией могут последовать и другие атаки, а сейчас злоумышленники, очевидно, лишь проверяют эффективность работы своих инструментов и новой тактики.

Согласно подсчетам Trend Micro, в настоящее время перед атаками на порты ADB уязвимы не менее 48 000 устройств. Среди них различные мультимедийные гаджеты, «умные» ТВ, смартфоны и так далее. Исследователи напоминают, что от подобных атак не защитит никакой пароль, поэтому рекомендуют не «светить» такие устройства в интернете напрямую, располагая их за роутерами и файерволами.