Жтрап Ботнет

Хотя исходный код печально известного ботнета Mirai стал достоянием общественности еще в 2016 году, киберпреступники по-прежнему либо используют его по частям, либо черпают вдохновение. Примером последнего является ботнет ZHtrap, обнаруженный исследователями из 360 Netlab.

Вредоносная программа может захватить широкий спектр устройств и ассимилировать их в структуру ботнета. Основная цель ботнета, по-видимому, заключается в проведении DDoS-атак (распределенного отказа в обслуживании), но бэкдор-канал, созданный на скомпрометированных устройствах, также позволяет злоумышленнику сбрасывать дополнительные полезные нагрузки вредоносного ПО. Инфраструктура Command-and-Control для кампании использует сервер, размещенный в сети TOR, и прокси-сервер TOR, который маскирует аномальный коммуникационный трафик, генерируемый ботнетом.

Для своего распространения ZHtrap использует четыре известных уязвимости, которые позволяют ему заражать маршрутизаторы, цифровые видеорегистраторы и сетевые устройства UPnP. В частности, ZHtrap следует за Netgear DGN1000, MVPower DVR, Realtek SDK Miniigd UPnP SOAP и многочисленными устройствами CCTV-DVR. Также будут атакованы устройства со слабыми паролями Telnet.

Угроза вредоносного ПО гарантирует, что это единственная вредоносная полезная нагрузка, работающая на определенном устройстве, через белый список, который включает только процессы, которые уже были запущены на устройстве. Все попытки выполнить дополнительные команды будут заблокированы.

Однако аспект, который больше всего отличает ZHtrap от большинства других ботнетов, - это его способность превращать скомпрометированные устройства в приманки. Термин приманка используется в области кибербезопасности для обозначения инструмента, который действует как приманка для атак вредоносных программ, собирая сканированные изображения, образцы кода и потенциальные эксплойты. ZHtrap использует похожую технику, но меняет ее назначение. Он дает указание захваченным устройствам начать прослушивание списка из 23 портов. Все IP-адреса, которые пытаются подключиться через эти порты, будут пропущены через модуль сканирования вредоносного ПО как новые потенциальные цели.