Articles

nieuwe IoT botnet biedt DDoSes van eens-onvoorstelbare maten voor $20

nieuwe IoT botnet biedt DDoSes van eens-onvoorstelbare maten voor $20

organisatoren van een nieuw botnet bestaande uit geïnfecteerde thuis-en kleine kantoorrouters zijn schaamteloos verkopen denial-of-service aanvallen van eens onvoorstelbare volumes voor slechts $20 per doel.

de groep noemt zichzelf Los Calvos de San Calvicie en adverteert verschillende diensten op deze site. Onder de diensten zijn gedistribueerde denial-of-service aanvallen van 290 tot 300 gigabit per seconde voor $20 elk. Terwijl een derde van de omvang van een aantal van de grootste geregistreerde aanvallen, 290Gbps is nog steeds genoeg om de meeste sites neer te halen, tenzij ze DDoS mitigation diensten, die in veel gevallen kosten aanzienlijke hoeveelheden geld. Slechts vijf jaar geleden werd 300Gbps beschouwd als genoeg volume om de kerninfrastructuur van het Internet af te sluiten.

Los Calvos de San Calvicie leden zijn Gespot assembleren van een botnet in de afgelopen dagen dat zeer waarschijnlijk heeft de vuurkracht die nodig is om de krachtige aanvallen beloofd te leveren. Volgens Pascal Geenens, een onderzoeker bij beveiligingsbedrijf Radware, de groep is het bouwen van het botnet door het benutten van twee kwetsbaarheden: een in RealTek routers lopen out-of-date firmware en de andere in de Huawei hg532 router, waar een patch uitgebracht in December nog moet worden geïnstalleerd door veel gebruikers. Beide kwetsbaarheden worden ook uitgebuit door een ander internet-of-things botnet bekend als Satori.

in tegenstelling tot de meeste IoT botnets die tot nu toe zijn gezien, gebruikt de door Geenens bijgehouden botnets, die hij JenX noemt, een handvol op niet-IoT servers om het Internet te scannen op kwetsbare apparaten en, eenmaal gevonden, om ze te exploiteren. Dat maakt het veel moeilijker om het aantal geïnfecteerde apparaten die deel uitmaken van JenX te schatten, omdat de gesimuleerde kwetsbare routers die Geenens in zijn laboratorium gebruikt om het botnet te volgen, hetzelfde beperkte aantal aanvalsservers zien.

daarentegen vertrouwen Mirai, Satori, Reaper en andere IoT-botnets op geïnfecteerde apparaten om kwetsbare apparaten te lokaliseren en te infecteren. Dat maakt het mogelijk honeypots zoals Geenens’ om de grootte van het botnet te schatten op basis van het aantal IP ‘ s die het scannen doen. JenX krijgt zijn naam van “Jennifer,” de naam van de malware ontwikkelaars gaf aan de binaire die kwetsbare apparaten infecteert.

Devine Stream

Geenens zei dat het belangrijkste doel van het botnet is om mensen aan te vallen die het online spel Grand Theft Auto spelen op bepaalde betalende servers. Dat op zijn beurt de vraag naar game hosting kan verhogen door sancalvicie.com. dat is hetzelfde domein dat de jenx command-and-control server host. Het adverteert zichzelf als resistent tegen de soorten aanvallen Mirai en JenX gebruiken om rivaliserende spel hosts neer te halen. Het is ook hetzelfde domein reclame voor de DDoS-for-hire diensten, die lijken te zijn een side business aan de game hosting.

de Spaanstalige groep heeft haar DDoS-dienst Corriente Divina genoemd, wat zich vertaalt naar ” divine stream.”Een ruwe Engelse vertaling van de service tag line is” God ‘ s wrath will be employed against the IP that you provided us.”

Bekijk meer

de groep biedt overstromingen van bronquery-engines en overstromingen van 32 bytes, dit zijn soorten DDoS-aanvallen die bijzonder effectief zijn bij het neerhalen van vele soorten multiplayer-gaming-diensten. De DDoS service bevat ook een” Down OVH ” optie, een waarschijnlijke verwijzing naar de in Frankrijk gevestigde hosting provider die bekend staat voor het hosten van servers voor multi-player games, waaronder Minecraft. OVH was een doelwit in de 2016 aanvallen gevoerd door botnets waaronder Mirai, die de cloud provider met 1.1 terabits per seconde van junk traffic, een record op het moment. Ironisch genoeg, in de afgelopen dagen, de Jennifer binary geleverd aan uitgebuite routers werd gehost op een IP-adres dat behoort tot OVH, Geenens zei.

JenX is een voorbeeld van de tweede generatie IoT botnets. Net als Mirai, het aast op het enorme aantal onbeveiligde routers, camera ‘ s, en andere netwerk-enabled apparaten bevolken het Internet. Dat aanbod geeft de botnets formidabele hoeveelheden gedistribueerde bandbreedte die het collectieve vermogen hebben om grote delen van het Internet te verlammen. Een zwakte in Mirai, echter, was het vertrouwen op standaard wachtwoorden om de controle over apparaten te nemen. Zodra de wachtwoorden worden gewijzigd—door fabrikanten of apparaateigenaren—wordt Mirai ineffectief.

JenX, Satori, Reaper en andere IoT-botnets van de tweede generatie hebben deze beperking omzeild door gebruik te maken van kwetsbaarheden in firmware op apparaten met internetverbinding. Het infectiemechanisme is potentieel veel effectiever omdat de meeste IoT-apparaten draaien op Linux-gebaseerde firmware die over het algemeen verouderd is op het moment van verzending. Veel apparaten kunnen helemaal niet worden bijgewerkt. Veel anderen die kunnen worden bijgewerkt zijn onbetaalbaar moeilijk voor de meeste mensen om te doen. Dat laat de tweede generatie IoT botnets met miljoenen apparaten over te nemen met behulp van betrouwbare exploits die vaak online beschikbaar zijn.

advertentie

JenX verschilt van de meeste IoT botnets, omdat, zoals eerder vermeld, Het afhankelijk is van gecentraliseerde servers om kwetsbare apparaten op te sporen en te exploiteren. Dat betekent dat het groeitempo waarschijnlijk constant zal blijven. In een e-mail schreef Geenens:

het potentieel voor dit botnet is vergelijkbaar met Satori omdat het precies dezelfde exploits gebruikt. Echter, de groei van deze bot zal niet zo hoog als Satori omdat Satori is met behulp van bots die elke scan en exploiteren door zichzelf—dus meer bots, meer scanners, meer slachtoffers, nog meer bots, nog meer scanners, enz…. exponentiële groei voor de Mirai, Satori en Reaper botnets. Het jenx botnet gebruikt servers voor het scannen en exploiteren van apparaten, zodat de groei minder dan lineair zal zijn. Door meer servers toe te voegen kunnen ze het sneller laten groeien, maar zullen nooit zo efficiënt en agressief zijn als Mirai, Satori en Reaper.

Geenens heeft hier een volledig verslag van zijn laatste bevindingen gepubliceerd.

op het moment dat dit bericht live ging, vertelde Geenens Ars dat abuse teams van Leaseweb Nederland en Leaseweb Duitsland Enkele van de jenx exploit servers die in hun datacenters waren gehost, hadden verwijderd. Geenens zei dat de C&C server operationeel blijft, net als andere exploit servers.

advertentie

“Dit is alleen het sturen van hen de boodschap dat ze nodig hebben om beter te krijgen in het verbergen van ons,” de onderzoeker schreef in een e-mail, verwijzend naar de jenx operators. “Het is niet zo gemakkelijk om een ervaren hacker groep neer te halen—ze leren nu van hun fouten. Ze kunnen hun werking over te brengen naar de darknet, dat is een ander voordeel van het gebruik van gecentraliseerde exploit servers.”