P2P Botnets On The Rise

Recommendation: Change all your default IoT passwords

12/10/2020
CVE
חשיבות
Null
None
מושפעים מרכזיים
(IoTs and network components (x86, ARM, MIPS, PPC Processor architectures

המלצה:

ההמלצה הטובה ביותר ל-Botnet זה הינה החלפת הסיסמאות הראשוניות המתקבלות מהיצרן על רכיבי הרשת השונים – מכשירים דיגיטאליים למיניהם, וכמו כן נדרש גם ניטור על התעבורה הרשתית אשר יכולה לתת לנו אינדיקציה גבוהה לזיהוי של הBotnet בארגון.

מידע על החולשה:

בתאריך 7.10.2020 פורסמה תקיפה על רכיבי IoTs. התקיפה הינה מסוג Botnet.

Botnet משמעותו, השתלטות על רכיב נגוע ועל ידו, ניתן לבצע התפשטות תקיפה לרכיבים מקושרים לאותו הרכיב. בכל העולם קיימים סוגים ואופנים שונים של מימושי Botnets.
בשונה מBotnets אחרים, ה-HeH ייחודי באופיו בכך שיודע לעבוד על ארכיטקטורות שונות של מעבדים כגון – x86, ARM, MIPS, PPC ועוד.
כך שסבירות גבוהה מאוד שגם הרכיבים שלכם נמצאים בסיכון גבוה לחולשה.

החולשה הנוכחית (HeH Botnet), מבוצעת בשלושה שלבים עיקריים:

שלב א' - הורדה והתארגנות ה-Botnet על רכיב הקצה:
השלב הראשון מאופיין בהורדה של הBot והרצה של קטע קוד ייחודי העונה לשם "wpqnbw.txt" שבאמצעותו מוריד קבצים מכתובת - "pomf.cat" הידועה כפלטפורמה לתקשורת מבוססת פרוטוקול Peer to Peer) P2P), פרוטוקול המאפשר העברת מידע בין רכיבים ללא צורך בשרת ניהול מרכזי.
לאחר שה-HeH הוקם על יחידת הקצה באופן מלא, ה-Botnet מקים Http server על אותה יחידת הקצה אשר תאפשר את הגישה של הרכיבים השונים אליו ובמקביל לכך, דואג לנטרל שירותים מסוימים אשר עלולים להפריע לנצילות מירבית של ה-Botnet על הרכיב, וכשלב התארגנות סופי, ה-HeH מקים תהליך P2P לניהול הרכיבים הנגועים המאפשר גם הרצה של קוד ואף מחיקה של כלל המידע ברכיב.

שלב ב' – תהליך ההתפשטות:
תהליך ההתפשטות עובד בתצורת Brute-force על רכיבים המקושרים לרכיב הנגוע על בסיס הפרוטוקול Telnet בפורטים 23/2323.
קוריוז קטן, כידוע, פרוטוקול Telnet נועד בעבר לשימוש ארגונים להתחברות לרכיבי Linux ברשת. מאז ועד היום, השימוש בפרוטוקול זה הפך להיות פחות ויראלי מפאת זאת שמדובר על פרוטוקול התחברות למכונות מרוחקות באופן לא מאובטח. בשנים האחרונות, לצורך התחברות למכונות מבוססות מערכת הפעלה Linux באופן מאובטח ע"י Credentials או SSH-Key, משתמשים בפרוטוקול ה-SSH (אשר זמין בפורט 22).

כהמלצה נקודתית לארגונים השונים – ודאו כי השימוש בפרוטוקול Telnet בפורטים 23/2323 אינו מאופשר ברשת הארגונית שלכם!

שלב ג' (והקריטי ביותר) - תהליך התקיפה:
לאחר שה-Botnet מבוסס היטב על העמדה, כבר דאג להקים שירות Http ו-P2P לצורך התחברות הרכיבים השונים אליו, מכאן כבר השמיים הם הגבול!
ע"י ה-HeH ניתן להעביר קבצים רגישים באופן גלוי מהרכיב הנגוע ליחידות הקצה המקושרות אליו באופן כזה של ניצול פרוטוקול Telnet ברשת.
אציין כי, כפי שנראה, ה-Botnet עדיין בתהליכי פיתוח מתקדמים (המודלים Misc ו-launch attack עדיין נמציאם ללא מימוש מלא).

עם זאת ה-Botnet הינו בעל יכולות רבות. מתוך סל יכולות הפגיעה של HeH אולי המסוכנת ביותר הינה יכולת ה“SelfDestruct” אשר מוחקת את כלל הדיסק במכונה.

סוג זה של תקיפה מומש על תשתיות קריטיות אשר פגעו אנושות בארגונים שונים!

חוות דעת אישית:
היום יותר ויותר אנו רואים תקיפות מסוג Botnets, brute-force, Spread attacks ועוד. עם זאת ההגנה הפשוטה ביותר כמו החלפת סיסמאות דיפולטיות ושכיחות היא המקסימום המינימאלי שעליכם לעשות בכדי להגן על עצמכם.

אנחנו חווים המון ארגונים שעדיין לא מבצעים את הפעולות הפשוטות הללו. וחבל.

אל תהיו חלק מהסטטיסטיקה, תנצחו אותה!

מקור פרסום החולשה:

The Hacker News
נכתב ע״י Maor Shaybet

Security Engineer

פוסטים נוספים

12/04/2021
Privilege escalation vulnerability in Azure Function

בעזרת מניפולציות בסיסיות ושימוש בכלים סטנדרטיים המורשים לכל חשבון בעל הרשאות נמוכות
(non-privileged accounts) במערכת ההפעלה, ניתן לבצע הזרקה של תוכן זדוני אשר יכול להשפיע באופן נרחב על ה-Docker כולו, וכל זאת ללא ידיעת מנהלי האבטחה בארגון.

30/03/2021
GDPR UNSECURE IMPLEMENTATION

GDPR (General Data Protection Regulation) הינה רגולציית ההגנה על הפרטיות של האיחוד האירופאי, המחייבת ארגונים להגן על מידע אישי שברשותם. במאמר זה נתרכז בבקרה המחייבת חברה לאפשר לאזרח (נשוא המידע) לאחזר את כל המידע שהיא מאחסנת עליו. ובשפת התקן – DSAR (Data Subject Access Request) ועל חולשות שהתגלו בתהליך זה.

08/03/2021
HAFNIUM targeting Exchange servers with Zero-day exploits

מתקפה ושימוש בפרצות אלו מיוחסים על ידי מייקרוסופט ברמת ודאות גבוהה מאוד לקבוצת HAFNIUM (קבוצת ריגול סינית אשר נהגה לתקוף ארגונים בארצות הברית כגון מוסדות השכלה גבוהה, משרדי עורכי דין ועוד).

מנף את העסק שלך בזמן שאתה מגן על הדברים החשובים

בוא נדבר על מערך האבטחה שלך
הירשם לניוזלטר
נשלח לך מייל שבועי שיעזור לך לשפר רמת האבטחה שלך, ומדי פעם גם קצת תקשורת שיווקית, בהתאם למדיניות הפרטיות שלנו.
lockplusunlockunlock-altcopyrightcross linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram