To Kaiten επιστρέφει πιο δυνατό από ποτέ

Τετάρτη, 30 Μαρτίου 2016 19:36

To Kaiten επιστρέφει πιο δυνατό από ποτέ

Οι ερευνητές της ESET έχουν εντοπίσει μια νέα και βελτιωμένη έκδοση του Kaiten, ενός κακόβουλου λογισμικού που ελέγχεται μέσω Internet Relay Chat (IRC) και το οποίο συνήθως χρησιμοποιείται για επιθέσεις άρνησης εξυπηρέτησης (distributed denial-of-service, DDoS). Η νέα έκδοση του κακόβουλου λογισμικού έχει ονομαστεί «KTN-Remastered» ή «KTN-RM», ενώ ήδη οι ερευνητές της ESET έχουν αναγνωρίσει τρεις εκδόσεις του Linux/Remaiten. Με βάση τα artifacts που βρίσκονται μέσα στον κώδικα, το κύριο χαρακτηριστικό του κακόβουλου λογισμικού αποτελεί ο βελτιωμένος μηχανισμός εξάπλωσης.

Βασισμένο κυρίως στην σάρωση telnet του Linux/Gafgyt, το KTN-RM βελτιώνει το μηχανισμό εξάπλωσης χρησιμοποιώντας εκτελέσιμα δυαδικά downloaders για ενσωματωμένες πλατφόρμες, όπως routers και άλλες συνδεδεμένες συσκευές, ενώ στοχεύουν κυρίως περιπτώσεις με αδύναμο διαπιστευτήρια σύνδεσης.

«Επιπλέον, η δουλειά του downloader είναι να ζητήσει από το διακομιστή Command & Control το δυαδικό bot Linux/Remaiten για την τρέχουσα αρχιτεκτονική του. Όταν εκτελεστεί, δημιουργεί άλλο ένα bot που μπορούν να χρησιμοποιήσουν κακόβουλα οι δημιουργοί του. Έχουμε συναντήσει πιο πριν αυτή την τεχνική να χρησιμοποιείται από το Linux/Moose για την εξάπλωση» σημειώνει ο Michal Malík, Malware Researcher της ESET.

Σε μια περίεργη τροπή, αυτό το στέλεχος του κακόβουλου λογισμικού έχει επίσης ένα μήνυμα για όσους μπορεί να προσπαθήσουν να το εξουδετερώσουν.

«Στο μήνυμα καλωσορίσματος, η έκδοση 2.0 φαίνεται να ξεχωρίζει το malwaremustdie.org που έχει δημοσιεύσει εκτενείς λεπτομέρειες σχετικά με το Gafgyt, το Tsunami και άλλα μέλη αυτής της οικογένειας του Malware» προσθέτει ο Malík.
Επιπλέον πληροφορίες σχετικά με το Bot Linux/Remaiten διατίθενται στο τεχνικό άρθρο του Michal Malik στο επίσημο blog της ESET για θέματα ασφάλειας, WeLiveSecurity.com.