Специалисты Qihoo 360 Netlab изучили ботнет Roboto, появившийся летом текущего года и эксплуатирующий уязвимость в Webmin


image.png

В августе 2019 года ИБ-эксперты сообщили, что в Webmin, популярном решении для системного администрирования Unix-систем (таких как Linux, FreeBSD или OpenBSD), был обнаружен бэкдор. Уязвимость CVE-2019-15107 позволяла злоумышленнику выполнять произвольный код на целевой системе с правами суперпользователя. Так как эксплуатировать уязвимость оказалось совсем несложно, спустя всего несколько дней после раскрытия информации о баге уязвимые версии Webmin начали подвергаться атакам.

Нужно заметить, что согласно официальным данным разработчиков, Webmin насчитывает более 1 000 000 установок. Shodan обнаруживает, что более 230 000 из них доступны через интернет, а по информации BinaryEdge, уязвимы и доступны через интернет более 470 000 установок. Разумеется, столь «лакомый кусочек» не мог не заинтересовать хакеров.

Исследователи Qihoo 360 Netlab пишут, что ботнет Roboto стал одним из первых, кто эксплуатировать уязвимость в Webmin. Появившийся в августе 2019 года, Roboto в последнее время в основном занимался развитием, причем увеличивался не только размер ботнета, но и сложность его кода.

Хотя основным предназначением ботнета определенно является проведение DDoS-атак, эксперты пока не видели, чтобы Roboto занимался этим. Исследователи полагают, что пока операторы ботнета заняты в основном наращиванием размера, а до фактических атак еще не дошло.

image.png

По данным аналитиков, ботнет способен устраивать DDoS с использованием ICMP, HTTP, TCP и UDP. Помимо этого Roboto, установленный на взломанных Linux-машинах, может:

работать как реверс шелл, что позволит атакующему запускать шелл-команды на зараженном хосте;
собирать информацию о системе, процессах и сети зараженного сервера;
загружать собранные данные на удаленный сервер;
запускать команды system();
выполнять файл, загруженные с удаленного URL;
удалять себя.
Также интересной особенностью Roboto является строение его внутренней структуры. Боты здесь организованы в P2P-сети и передают команды, которые получают от управляющего сервера друг другу. То есть с управляющим сервером связывается не каждый бот по отдельности. Дело в том, что P2P-коммуникации встречаются в DDoS-ботнетах не так уж часто (в качестве примеров можно вспомнить ботнеты Hajime и Hide'N'Seek). В итоге большинство ботов Roboto — это простые «зомби», занятые передачей команд, тогда как другие работают для поддержки P2P-сети или занимаются сканированием в поисках других уязвимых установок Webmin, чтобы увеличивать размер ботнета.


Comments 8


23.11.2019 06:21
0

Вы наградили автора токенами VIZ тоже хочу!

23.11.2019 06:21
0

💡 @panichodl получил апвоут на 5% (VotingPower 9914.32). Сила Голоса 19594.560.
Апайте посты блога: /@djimirji и будете получать апвоуты на 32%

Делегируй СИЛУ ГОЛОСА - получай VIP апвоут!

Условия вызова бота:

  • Оставляй призыв под автором поста, находящимся у меня в подписчиках.
  • Вызывай не более 3-х раз за 24 часа.
  • АП на 5%, если "батарейка" более 93%. АП на 2% если батарейка от 92% до 85%. АП 1% если ниже 85%.
  • АПай коментарии и получай больший процент АПа.
23.11.2019 06:46
0

Hello, @panichodl. You received 12.5% upvote from Flotilia.


Здравствуйте, @panichodl. Вы получили 12.5% апвот от Флотилии.

23.11.2019 06:21
0

Здравствуйте, @panichodl.
Вы получили 40.91% апвот от @goloslove.
Оплатил(a) ап поста: @panichodl.

Инструкция по использованию сервиса.

Группа техподдержки в Telegram - https://t.me/golos_love

24.11.2019 13:52
0