23.11.2017

Hackeři hackují hackery

Na jedné straně jsou oběti a na straně druhé jsou hackeři, kteří na tyto oběti útočí. A na straně třetí jsou hackeři, kteří útočí na tyto hackery. Hostinský Hrubeš hýká hrůzou.

Cover

V poslední době se v diskusních fórech šedé zóny internetu stále častěji šíří skripty cílené na IoT, tedy internet věcí. Je zde běžnou praxí, že si uživatelé mezi sebou sdílejí kusy kódu, umožňující vše možné, od scannerů zranitelností až po botnety. Kdo by však čekal, že pod svícnem bude největší tma, ten se plete - najdou se zde totiž kusy škodlivého kódu, které v sobě obsahují ještě další, skrytý škodlivý kód. Ten je cílen na útočníka.

Tuto zvláštní matrjošku škodlivých kódů odhalili výzkumníci z NewSky Security. Jedná se o PHP skript, určený pro analýzu zranitelností IP kamer využívajících zranitelnou verzi web serveru GoAhead. Útočník tak jednoduchým spuštěním skriptu prohledá síť a získá seznam zranitelných zařízení. Takové kamery pak může útočník ovládnout a např. přidat do svého IoT botnetu.

Zajímavé na tomto skriptu však je, že obsahuje backdoor, který samotnému útočníkovi na jeho počítači tajně nainstaluje další škodlivý kód, tentokrát linuxový botnet Kaiten. Zřejmě protože útočníci většinou pro svou práci preferují Linux.

Na škodlivou část skriptu výzkumníky upozornil právě fakt, že se ji autor snažil až příliš okatě skrýt. Běžně se totiž tyto skripty v komunitě sdílejí v čitelné podobě (tedy jako open source), tento skript však byl zašifrován. Tedy přesněji, zakódován ve formátu BASE64, poté zašifrován substituční šifrou ROT13, poté komprimován pomocí gzip a nakonec opět zašifrován šifrou ROT13.


A k čemu všechna ta námaha? Zkušený útočník si nemusí sám špinit ruce se sběrem zranitelných zařízení a tvorbou botnetu. Stačí, když jednoduše rozdá fungující skript nic netušícím script kiddies (hackerům začátečníkům) a pak jim jen jednoduše ukradne jejich odvedenou práci.
Více na blog.newskysecurity.com

Kam dál?