Была обнаружена новая мультиплатформенная угроза под названием NKAbuse, использующая децентрализованный протокол однорангового сетевого подключения, известный как NKN (сокращение от New Kind of Network) в качестве канала связи.
"Вредоносное ПО использует технологию NKN для обмена данными между одноранговыми узлами, функционирует как мощный имплантант и оснащено возможностями флудера и бэкдора", - говорится в отчете российской компании по кибербезопасности Kaspersky, опубликованном в четверг.
NKN, насчитывающая более 62 000 узлов, описывается как "программная оверлейная сеть, построенная поверх современного Интернета, которая позволяет пользователям делиться неиспользуемой пропускной способностью и получать вознаграждения в виде токенов". Она включает блокчейн-слой поверх существующего стека TCP / IP.
Известно, что субъекты угроз используют преимущества новых протоколов связи для целей командования и контроля (C2) и уклоняются от обнаружения, NKAbuse использует технологию блокчейна для проведения распределенных атак типа "отказ в обслуживании" (DDoS) и функционирует как имплантат внутри скомпрометированных систем.
В частности, она использует протокол для общения с ведущим ботом и получения / отправки команд. Вредоносная программа реализована на языке программирования Go, и данные указывают на то, что она используется в основном для выделения систем Linux, включая устройства интернета вещей.
В настоящее время неизвестно, насколько широко распространены атаки, но один случай, выявленный Касперским, связан с использованием критической уязвимости безопасности Apache Struts шестилетней давности (CVE-2017-5638, оценка CVSS: 10.0) для взлома неназванной финансовой компании.
За успешной эксплуатацией следует отправка начального скрипта оболочки, который отвечает за загрузку имплантата с удаленного сервера, но не ранее проверки операционной системы целевого хоста. На сервере, на котором размещена вредоносная программа, размещены восемь различных версий NKAbuse для поддержки различных архитектур процессоров: i386, arm64, arm, amd64, mips, mipsel, mips64 и mips64el.
Еще одним примечательным аспектом является отсутствие механизма самораспространения, что означает, что вредоносное ПО должно быть доставлено цели другим первоначальным путем доступа, например, путем использования уязвимостей в системе безопасности.
"NKAbuse использует задания cron для защиты от перезагрузок", - сказал Касперский. "Для этого у него должен быть root. Она проверяет, что текущий идентификатор пользователя равен 0, и, если это так, продолжает анализировать текущую crontab, добавляя себя при каждой перезагрузке."
NKAbuse также включает в себя множество функций бэкдора, которые позволяют ей периодически отправлять ведущему бота сообщение о сердцебиении, содержащее информацию о системе, делать скриншоты текущего экрана, выполнять файловые операции и запускать системные команды.
"Этот конкретный имплантат, похоже, был тщательно разработан для интеграции в ботнет, но он может адаптироваться к функционированию в качестве бэкдора на конкретном хостинге", - сказал Касперский. "Более того, использование технологии блокчейн обеспечивает как надежность, так и анонимность, что указывает на потенциал неуклонного расширения этой ботнета с течением времени, который, по-видимому, лишен идентифицируемого центрального контроллера".
"Мы удивлены, что NKN используется таким образом", - сказал Чжэн "Брюс" Ли, соучредитель NKN, в интервью Hacker News. "Мы создали NKN, чтобы обеспечить настоящую одноранговую связь, которая является безопасной, частной, децентрализованной и масштабируемой. Мы пытаемся узнать больше об отчете, чтобы понять, сможем ли мы вместе сделать Интернет безопасным и нейтральным".
"Мы удивлены, что NKN используется таким образом", - сказал Чжэн "Брюс" Ли, соучредитель NKN, в интервью Hacker News. "Мы создали NKN, чтобы обеспечить настоящую одноранговую связь, которая является безопасной, частной, децентрализованной и масштабируемой. Мы пытаемся узнать больше об отчете, чтобы понять, сможем ли мы вместе сделать Интернет безопасным и нейтральным".
"Вредоносное ПО использует технологию NKN для обмена данными между одноранговыми узлами, функционирует как мощный имплантант и оснащено возможностями флудера и бэкдора", - говорится в отчете российской компании по кибербезопасности Kaspersky, опубликованном в четверг.
NKN, насчитывающая более 62 000 узлов, описывается как "программная оверлейная сеть, построенная поверх современного Интернета, которая позволяет пользователям делиться неиспользуемой пропускной способностью и получать вознаграждения в виде токенов". Она включает блокчейн-слой поверх существующего стека TCP / IP.
Известно, что субъекты угроз используют преимущества новых протоколов связи для целей командования и контроля (C2) и уклоняются от обнаружения, NKAbuse использует технологию блокчейна для проведения распределенных атак типа "отказ в обслуживании" (DDoS) и функционирует как имплантат внутри скомпрометированных систем.
В частности, она использует протокол для общения с ведущим ботом и получения / отправки команд. Вредоносная программа реализована на языке программирования Go, и данные указывают на то, что она используется в основном для выделения систем Linux, включая устройства интернета вещей.
В настоящее время неизвестно, насколько широко распространены атаки, но один случай, выявленный Касперским, связан с использованием критической уязвимости безопасности Apache Struts шестилетней давности (CVE-2017-5638, оценка CVSS: 10.0) для взлома неназванной финансовой компании.
За успешной эксплуатацией следует отправка начального скрипта оболочки, который отвечает за загрузку имплантата с удаленного сервера, но не ранее проверки операционной системы целевого хоста. На сервере, на котором размещена вредоносная программа, размещены восемь различных версий NKAbuse для поддержки различных архитектур процессоров: i386, arm64, arm, amd64, mips, mipsel, mips64 и mips64el.
Еще одним примечательным аспектом является отсутствие механизма самораспространения, что означает, что вредоносное ПО должно быть доставлено цели другим первоначальным путем доступа, например, путем использования уязвимостей в системе безопасности.
"NKAbuse использует задания cron для защиты от перезагрузок", - сказал Касперский. "Для этого у него должен быть root. Она проверяет, что текущий идентификатор пользователя равен 0, и, если это так, продолжает анализировать текущую crontab, добавляя себя при каждой перезагрузке."
NKAbuse также включает в себя множество функций бэкдора, которые позволяют ей периодически отправлять ведущему бота сообщение о сердцебиении, содержащее информацию о системе, делать скриншоты текущего экрана, выполнять файловые операции и запускать системные команды.
"Этот конкретный имплантат, похоже, был тщательно разработан для интеграции в ботнет, но он может адаптироваться к функционированию в качестве бэкдора на конкретном хостинге", - сказал Касперский. "Более того, использование технологии блокчейн обеспечивает как надежность, так и анонимность, что указывает на потенциал неуклонного расширения этой ботнета с течением времени, который, по-видимому, лишен идентифицируемого центрального контроллера".
"Мы удивлены, что NKN используется таким образом", - сказал Чжэн "Брюс" Ли, соучредитель NKN, в интервью Hacker News. "Мы создали NKN, чтобы обеспечить настоящую одноранговую связь, которая является безопасной, частной, децентрализованной и масштабируемой. Мы пытаемся узнать больше об отчете, чтобы понять, сможем ли мы вместе сделать Интернет безопасным и нейтральным".
"Мы удивлены, что NKN используется таким образом", - сказал Чжэн "Брюс" Ли, соучредитель NKN, в интервью Hacker News. "Мы создали NKN, чтобы обеспечить настоящую одноранговую связь, которая является безопасной, частной, децентрализованной и масштабируемой. Мы пытаемся узнать больше об отчете, чтобы понять, сможем ли мы вместе сделать Интернет безопасным и нейтральным".
