Эксперты взломали C&C-панели десяти IoT-ботнетов

[Artifact]

Взлом C&C-панелей позволил исследователям понять, как функционируют ботнеты.

В ходе конференции Virus Bulletin Conference на прошлой неделе исследователи безопасности Адитья Суд (Aditya Sood) из F5 Networks и Рохит Бансал (Rohit Bansal) из SecNiche Security Labs рассказали, как им удалось взломать C&C-панели десяти IoT-ботнетов: Mana, Vivid, Kawaii, Verizon, Goon, 911-Net, Purge Net, Direct, 0xSec и Dark.
Как пояснили исследователи, для начала они создали топологию серверов, распространяющих вредоносное ПО, и извлекли из скомпрометированных IoT-устройств вредоносные двоичные файлы. Из этих файлов они получили вшитые IP-адреса с целью определить местоположение C&C-панелей.
Кроме того, исследователи извлекли из сетевого трафика такие данные, как IP-адреса, а из запущенных на взломанных устройствах вредоносных процессов – информацию о C&C-панелях (этот способ эффективен в случае, если IP-адреса генерируются «на лету»).
Помимо прочего, исследователи провели массовое сканирование интернета в поисках потенциально подозрительных IoT-устройств и незащищенных панелей администрирования и пытались взломать их с целью извлечь информацию о C&C-серверах.
После выявления подконтрольного злоумышленникам сервера исследователи получили доступ к C&C-панели через конечный интерфейс администрирования или с помощью брутфорса. Доступ также можно получить путем компрометации конечной базы данных с целью похитить учетные данные администратора, путем эксплуатации уязвимостей в C&C-панели или с помощью взломанных учетных данных.
Если взломать C&C-панель не представлялось возможным, исследователи пытались вызвать отказ в обслуживании сервера или отключить его. Проанализировав исходный код вредоносного ПО, они могли идентифицировать распределение буфера для различных функций, найти в них уязвимости, позволяющие вызвать переполнение, переделать буфер и отправить его жертве с целью посмотреть, получится ли вызвать отказ в обслуживании.
Исследователи получили информацию о поддерживаемых ботнетом командах, доступных администраторам опциях, в том числе для осуществления DDoS-атак, а также выявить разницу между разными панелями.
По словам исследователей, компрометация C&C-панелей очень важна для сбора данных о ботнетах и обеспечения защиты от них. В противном случае, было бы очень трудно понять, как именно функционируют ботнеты.