Articles

nya IoT botnet erbjuder Ddoser av en gång ofattbara storlekar för $20

nya IoT botnet erbjuder Ddoser av en gång ofattbara storlekar för $20

arrangörer av ett nytt botnet som består av infekterade hem-och små kontorsroutrar säljer brazenly denial-of-service-attacker av en gång ofattbara volymer för bara $20 per mål.

kallar sig Los Calvos de San Calvicie, gruppen annonserar flera tjänster på denna webbplats. Bland tjänsterna distribueras denial-of-service-attacker på 290 till 300 gigabit per sekund för $20 vardera. Medan en tredjedel av storleken på några av de största inspelade attackerna är 290Gbps fortfarande tillräckligt för att få de flesta webbplatser ner om de inte söker DDoS-begränsningstjänster, vilket i många fall kostar stora summor pengar. För bara fem år sedan ansågs 300 Gbps vara tillräckligt med volym för att stänga av Internets kärninfrastruktur.

Los Calvos de San Calvicie medlemmar har setts montering en botnet under de senaste dagarna som mycket möjligen har eldkraft som krävs för att leverera potenta attacker utlovade. Enligt Pascal Geenens, forskare vid säkerhetsföretaget Radware, bygger gruppen botnet genom att utnyttja två sårbarheter: en i RealTek-routrar som kör föråldrad firmware och den andra i Huawei HG532-routern, där en patch som släpptes i December ännu inte har installerats av många användare. Båda sårbarheterna utnyttjas också av ett annat Internet-of-things botnet som kallas Satori.

till skillnad från de flesta av de IoT-botnät som hittills sett, använder den som spåras av Geenens, som han kallar JenX, en handfull på icke-IoT-servrar för att skanna Internet för sårbara enheter och, när de hittats, för att utnyttja dem. Det gör det mycket svårare att uppskatta antalet infekterade enheter som utgör JenX, eftersom de simulerade sårbara routrarna Geenens använder i sitt laboratorium för att spåra botnet se samma begränsade antal angreppsservrar.

däremot är Mirai, Satori, Reaper och andra IoT-botnät beroende av infekterade enheter för att lokalisera och infektera sårbara enheter. Det gör det möjligt för honeypots som Geenens att uppskatta storleken på botnet baserat på antalet IP-adresser som gör skanningen. JenX får sitt namn från ”Jennifer”, namnet som malware-utvecklarna gav till binären som infekterar sårbara enheter.

Devine Stream

Geenens sa att huvudsyftet med botnet är att attackera människor som spelar online-spelet Grand Theft Auto på vissa avgiftsladdningsservrar. Det kan i sin tur öka efterfrågan på spelhotell genom att sancalvicie.com. det är samma domän som är värd för JenX command-and-control-servern. Det annonserar sig som resistent mot de typer av attacker som Mirai och JenX använder för att få ner rivaliserande spelvärdar. Det är också samma domän som annonserar DDoS-for-hire-tjänsterna, som verkar vara ett sidoföretag till spelhosting.

den spansktalande gruppen har kallat sin DDoS-tjänst Corriente Divina, som översätts till ”gudomlig ström.”En grov engelsk översättning av tjänsten tag line är” Guds vrede kommer att användas mot IP som du ger oss.”

Visa mer

gruppen erbjuder översvämning av källfrågor och 32-byte översvämningar, vilka är typer av DDoS-attacker som är särskilt effektiva för att få ner många typer av multiplayer-speltjänster. DDoS-tjänsten innehåller också ett” Down OVH ” -alternativ, en sannolik hänvisning till den Frankrike-baserade värdleverantören som är känd för värdservrar för multi-player-spel, inklusive Minecraft. OVH var ett mål i 2016-attackerna av botnät inklusive Mirai, som pummeled molnleverantören med 1.1 terabits per sekund skräptrafik, en rekord vid den tiden. Ironiskt nog var Jennifer-binären som levererades till exploaterade routrar under de senaste dagarna värd på en IP-adress som tillhör OVH, sa Geenens.

JenX är ett exempel på andra generationens IoT-botnät. Liksom Mirai byter den på det stora antalet osäkra routrar, kameror och andra nätverksaktiverade enheter som fyller på Internet. Det utbudet ger botnät formidabla mängder distribuerad bandbredd som har den kollektiva förmågan att lamslå stora delar av Internet. En svaghet i Mirai var dock dess beroende av standardlösenord för att ta kontroll över enheter. När lösenorden har ändrats—antingen av tillverkare eller enhetsägare—blir Mirai ineffektivt.

JenX, Satori, Reaper och andra andra generationens IoT-botnät har kommit runt denna begränsning genom att utnyttja firmware-sårbarheter i Internetanslutna enheter. Infektionsmekanismen är potentiellt mycket effektivare eftersom de flesta IoT-enheter kör Linux-baserad firmware som i allmänhet är föråldrad vid leveranstidpunkten. Många enheter kan inte uppdateras alls. Många andra som kan uppdateras är oöverkomligt svåra för de flesta att göra. Det lämnar andra generationens IoT-botnät med miljontals enheter att ta över med pålitliga exploater som ofta är tillgängliga online.

annons

JenX skiljer sig från de flesta IoT-botnät, eftersom det, som tidigare nämnts, är beroende av centraliserade servrar för att söka och utnyttja sårbara enheter. Det betyder att tillväxten sannolikt kommer att förbli konstant. I ett e-postmeddelande skrev Geenens:

potentialen för detta botnet är jämförbar med Satori eftersom den använder exakt samma exploater. Tillväxten för denna bot kommer dock inte att vara så hög som Satori eftersom Satori använder bots som varje skannar och utnyttjar av sig själva – så fler bots, fler skannrar, fler offer, ännu fler bots, ännu fler skannrar, etc…. så exponentiell tillväxttakt för Mirai, Satori och Reaper botnät. JenX botnet använder servrar för skanning och utnyttjande av enheter, så tillväxten blir mindre än linjär. Genom att lägga till fler servrar kan de få den att växa snabbare, men kommer aldrig att bli lika effektiv och aggressiv som Mirai, Satori och Reaper.

Geenens har publicerat en fullständig rapport om sina senaste resultat här.

när det här inlägget gick live berättade Geenens för Ars att missbruksteam på Leaseweb Netherlands och Leaseweb Germany tog ner några av JenX exploit-servrarna som hade varit värd i sina datacenter. Geenens sa att C&C-servern förblir i drift, liksom andra exploateringsservrar.

annons

”detta skickar dem bara meddelandet att de behöver bli bättre på att gömma sig från oss,” skrev forskaren i ett mail med hänvisning till JenX-operatörerna. ”Det är inte så lätt att ta ner en skicklig hackergrupp—de lär sig av sina misstag nu. De kan föra över sin verksamhet till darknet, vilket är en annan fördel med att använda centraliserade exploateringsservrar.”