Új botnet

A HVG azt írja, új és veszélyes kártevő jelent meg, ami mindenféle gépet megtámad, az adatokat letörli.

"A szakértők szerint a botnet terjeszkedése rendkívül gyors, mivel a kód a klasszikusan gyenge védelmű IoT-eszközöket (pl. okostévéket vagy más, intelligens háztartási gépeket) is megfertőzi, újabb és újabb eszközöket adva ezzel a hadseregéhez."

Az egész elég veszélyesnek hangzik.

Az eredeti forrás részletesen leírja a botnet építő kód elemzését és működését.

https://hvg.hu/tudomany/20201020_zombivirus_zombihalozat_heh_botnet_sza…

https://blog.netlab.360.com/heh-an-iot-p2p-botnet/

Hozzászólások

Lapozz tovább! :/

Istenségnek lenni nem jó dolog, mert a szitkozódás örömét alanyi jogon eleve elveszíti az érintett.
[Gulyás Márk - www.deltamark.hu]

Múlt héten attól volt hangos az egész online sajtó h. a microsoft lelőtte az egyik legnagyobb botnet a TrickBot szervereinek 90%-át. Azért sikerült nekik, mert a bíróságon arra hivatkoztak, h. a TrickBot veszélyezteti az üzleti érdekeiket. Több se kellett a bírónak,  jóváhagyta h. kb. bármelyik gépre rámutattak bármelyik datacenterben, és a yard már kapcsolta is le a nevezett gépeket.

Én azt a részt tartrom viccesnek, hogy telnet porton brute force módon próbál belépni.

Gondolom ez jó mindenféle gyárilag vacakul beállított okoseszközök ellen elméletileg, de már nem is emlékszem, mikor láttam utoljára olyan OS-t, amin out of the box volt nyitott telnet port, plusz már igen régóta a Windows is beépített tűzfallal jön, meg a szolgáltatók által adott routerek is jellemzően tiltják az összes bejövő kapcsolatot alapértelmezetten, szóval ha van is nyitott 23-as port valahol, az internetről nem hozzáférhető.

Ha terjed a cucc, akkor biztos vannak olyan gépek, amik elérhetőek és van rajtuk telnet, de azt feltételezem, hogy az egységsugarú felhasználók eszközeinek nagy része nem ilyen, és amin adat van, pl. számítógép, az meg 99% nem ilyen.

Ti hogy látjátok? Van valami, amire nem gondoltam?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

23-as és 2323-as porton próbál telnet protokollal kapcsolódni, aztán brute force-szal kitalálni a felhasználó/jelszó párost és belépni.

Ha a kávéfőződet TCP/IP-vel eléri egy fetőzött eszköz, akkor igen, képes megtámadni. Ha nem éri el, akkor meg nem.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ez rendben is van, én is hallottam, hogy biztonságilag szarok.

Csak abból indulok ki, hogy ami IoT eszközök nekem itthon vannak, azoknak a belső hálón oszt a WiFi router címet, a külvilág felől egy támadó megcímezni sem tudja, és ha bármi kérést küldene a 23-as portra, a router kiszűrné a csipába.

Azok az IoT eszközök, amiket el lehet érni kívülről, azok valami felhős megoldással működnek, ami azt jelenti leginkább, hogy van valami weboldal, amivel kommunikál az eszköz is, meg az internet felől akár én is. Támadóként nem tudom a felhős megoldást megkérni arra, hogy a 23-as portra küldjön le valamit az eszközömnek.

Azt a szituációt tudnám csak elképzelni, ha valaki behordozza ide az én belső netemre a vírust. Nem mondom, hogy lehetetlen, de a vendégek egy másik SSID-re kapcsolódhatnak és nem látják a másik subneten lévő saját eszközöket, szóval csak akkor fordulhat ez elő, ha én vagy az asszony valahol megfertőződünk (telefon, laptop), és így hazahozzuk a cuccot. Az én laptopomra az alap telepítés nem tett telnet szervert és én se változtattam ezen, az asszony gépén szintén nem érhető el a telnet port, nem tudom, hogy nincs is szolgáltatás (feltételezem nincs), vagy csak valami beépített tűzfal szűr ki mindent.

A telefonokat nem tudom. Fogalmam sincs. Mennyire jellemző, hogy telefonokon van nyitott telnet port és egy futó szolgáltatás figyel ott?

De OK, felejtsük el az én eszközeimet, mondjuk azt, hogy nem én vagyok a célcsoport. Szóval azt mondjuk, hogy vannak az interneten bárki által elérhető IoT eszközök. Ezek közül némelyik lukas, nyitott telnet porton valami default vagy nem túl combos jelszóval be lehet lépni. OK. Én továbbra is úgy érzem, hogy egy ilyen működésű vírus esetén nem az adatok törlése lesz a gond (mert az IoT eszközök milyen adathoz férnek hozzá?), inkább az, hogy spam-et küldhet, DDOS-t tolhat, stb.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ez egy jó kérdés, nem tudom, hogy ipv6 alatt hogyan van általában.

Azért nem gondoltam ipv6-ra alapból, mert a szolgáltatóm nem támogat ipv6-ot, se a hálózata, se az általuk szállított router. A belső hálózatomon lévő egységeknek van ipv6-os címe, de kétlem, hogy ezeket kívülről (a jelenlegi állás szerint) el lehetne érni. Nem teszteltem még, majd tesztelem, mert ki tudja, lehet, hogy van valami trükkjük, tunnel vagy nat vagy akármi. Bár kétlem.

Ha tippelnem kellene, ahogy az ISP modem jelenleg is minden kívülről érkező kérést blokkol, meg a laptopon lévő default tűzfal is minden új kérést blokkol, feltételezném, hogy ipv6 esetén se lesz szabad a bejárás. Majd meglátom.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.