SBIDIOT Malware

Rozprzestrzenianie się urządzeń IoT (Internet-of-Things) nadal wykazuje szybki wzrost, zwłaszcza w sektorze przemysłowym. W związku z tym cyberprzestępcy znaleźli szeroką pulę potencjalnych celów infekcji złośliwym oprogramowaniem. Jednym z najnowszych zagrożeń zaprojektowanych specjalnie w celu włamania się do urządzeń IoT jest SBIDIOT Malware.

Podobnie jak w przypadku większości zagrożeń IoT, głównym celem SBIDIOT Malware jest włączenie wszystkich zainfekowanych urządzeń do botnetu. Chociaż moc obliczeniową botnetów można wykorzystać na kilka różnych sposobów, najważniejszym z nich jest przeprowadzanie ataków DDoS na określone cele. DDOS to Distributed Denial of Service - urządzenia w botnecie zaczynają generować nadmierne obciążenie serwera wybranego przez hakerów, co uniemożliwi użytkownikom dostęp do jego usług. Jedną z metod wykorzystywanych przez SBIDIOT Malware do rozprzestrzeniania jest wykorzystanie luki RCE (Remote Code Execution) w routerach ZTE.

Funkcjonalność złośliwego oprogramowania SBIDIOT

Analiza kodu zagrożenia przeprowadzona przez badaczy infosec ujawniła, że SBIDIOT Malware jest w stanie wykonać łącznie 16 poleceń otrzymanych z serwera Command-and-Control (C2, C&C) i dopasowanych do listy ciągów. Adres IP i port C2 są na stałe zakodowane w pliku binarnym SBIDIOT. Pełna lista to: TCP, HTTPSTOMP, VSE, HEX, STD, VOX, NFO, UDP, UDPH, R6, FN, OVHKILL, NFOKILL, STOP, Stop, stop.

Nic dziwnego, że prawie wszystkie działania wykonywane przez zagrożenie są związane z przeprowadzaniem ataków DDoS różnymi metodami i wymaganymi argumentami. Na przykład polecenie HTTPSTOMP jest definiowane za pomocą metody HTTP, kombinacji host / port, czasu trwania ataku i liczby określającej, ile razy operacje będą powtarzane. Wszystkie polecenia HEX, STD, R6, NFO, FN, OVHKILL, NFOKILL i UDPH wywołują tę samą funkcję, która wymaga nazwy hosta, portu i ograniczenia czasu trwania ataku. Następnie zacznie generować ruch UDP ze stałym ładunkiem.

Głównymi wyjątkami są polecenia STOP, stop i Stop. Po zainicjowaniu wysyłają sygnał SIGKILL do wszystkich identyfikatorów procesów, które są obecnie śledzone. Pozwala to osobie będącej zagrożeniem na natychmiastowe zakończenie wybranego procesu.