SBIDIOT Malware

IoT (Nesnelerin İnterneti) cihazlarının yaygınlaşması, özellikle endüstriyel sektörde hızlı bir büyüme sergilemeye devam ediyor. Bu nedenle, siber suçlular kötü amaçlı yazılım bulaşması için geniş bir yeni potansiyel hedef havuzu buldu. Özellikle IoT cihazlarını ihlal etmek için tasarlanmış en son tehditlerden biri SBIDIOT Kötü Amaçlı Yazılım olarak adlandırılır.

Çoğu IoT tehdidinde olduğu gibi, SBIDIOT Kötü Amaçlı Yazılımının temel amacı, virüslü tüm cihazları bir botnet'e dahil etmektir. Botnet'lerin hesaplama gücü birkaç farklı şekilde kullanılabilse de en önemlisi, belirli hedeflere yönelik DDoS saldırıları başlatmaktır. DDOS, Dağıtılmış Hizmet Reddi anlamına gelir - botnet'teki cihazlar, bilgisayar korsanları tarafından seçilen sunucuda kullanıcıların hizmetlerine erişmesini engelleyecek aşırı yük oluşturmaya başlar. SBIDIOT Kötü Amaçlı Yazılımın çoğalma için kullandığı gözlemlenen bir yöntem, ZTE yönlendiricilerindeki bir RCE (Uzaktan Kod Yürütme) güvenlik açığından yararlanmaktır.

SBIDIOT Kötü Amaçlı Yazılım İşlevselliği

Infosec araştırmacıları tarafından gerçekleştirilen tehdit kodunun analizi, SBIDIOT Kötü Amaçlı Yazılımının Komut ve Kontrol (C2, C&C) sunucusundan alınan ve bir dizi diziyle eşleştirilen toplam 16 komutu gerçekleştirebildiğini ortaya çıkardı. C2'nin IP adresi ve bağlantı noktası, SBIDIOT ikili programına sabit kodlanmıştır. Tam liste: TCP, HTTPSTOMP, VSE, HEX, STD, VOX, NFO, UDP, UDPH, R6, FN, OVHKILL, NFOKILL, STOP, Stop, stop.

Şaşırtıcı olmayan bir şekilde, tehdit tarafından gerçekleştirilen eylemlerin neredeyse tamamı, farklı yöntemler ve gerekli argümanlar aracılığıyla DDoS saldırıları başlatmakla ilgilidir. Örneğin, HTTPSTOMP komutu bir HTTP yöntemi, ana bilgisayar / bağlantı noktası kombinasyonu, saldırının süresi ve işlemlerin kaç kez tekrarlanacağını belirten bir sayı ile tanımlanır. HEX, STD, R6, NFO, FN, OVHKILL, NFOKILL ve UDPH komutlarının tümü, bir ana bilgisayar adı, bir bağlantı noktası ve saldırı süresi sınırı gerektiren aynı işlevi çağırır. Daha sonra sabit bir yük ile UDP trafiği oluşturmaya başlayacaktır.

Başlıca istisnalar STOP, stop ve Stop komutlarıdır. Başlatıldıklarında, o anda izlenen tüm işlem kimliklerine bir SIGKILL sinyali gönderir. Bu, tehdit aktörünün seçilen süreci derhal sonlandırmasına olanak tanır.