PDoS támadással nyírja ki a linuxos kütyüket a BrickerBot kártevő



A Radware kiberbiztonsági cég négy napra az internetre kapcsolt egy csali (honeypot) eszközt, hogy megvizsgálja, milyen veszélyek leselkednek a minket körülvevő kütyükre. A csali 1895 PDoS támadási kísérletet rögzített és felfedezett két olyan kártevőt, amilyennel eddig nem sokszor találkozhattunk.

Androbit a Facebookon


A Permanent Denial-of-Service (PDoS) abban különbözik a hagyományos értelemben vett Denial-of-Service (DoS) szolgáltatásmegtagadásos (túlterheléses) támadástól, hogy maradandó károkat okoz, aminek következtében a rendszer, esetenként pedig az egész eszköz cseréje szükséges a szolgáltatás visszaállításához.

A vizsgálatok során felfedezett BrickerBot.1 és BrickerBot.2 kártevők ékes példái a kevésbé ismert fogalomnak, ugyanis munkájuk nyomán tökéletesen megvalósul a maradandó szolgáltatásmegtagadás, helyesebben -kiesés.



A BrickerBot.1 busybox parancsa arra enged következtetni, hogy a kártevők elsődleges célpontjai a Linuxot/busyboxot futtató routerek, IoT és egyéb eszközök, ugyanakkor a BrickerBot.2 már (busybox nélkül) nem válogat a Linux-rendszerek között.

A kártevők terjesztői brute force módszerrel törnek be a beágyazott Linuxot futtató IoT internetes eszközökre azok Telnet protokollján keresztül, ahol a kártevők nekilátnak a pusztításnak: Véletlen adattal töltik fel a tárhelyeket (SCSI, SATA, MTD, SD-kártya, stb.), törlik a hálózati beállításokat, törlik a gyökérkönyvtár tartalmát, levágják az eszközt az internetről és 10 ezres nagyságrendről 1-re korlátozzák a futtatható szálakat – a teljes lista akár hosszabb is lehet, de már ez is bőven elég.

Az eredményt nem kell magyarázni, szerencsés esetben csak a tárolt adatoknak és a memóriában futó rendszernek lesz annyi, rosszabb esetben viszont a teljes firmware-t újra kell írni. A PDoS tehát megvalósul, az eszköz huzamosabb ideig elérhetetlen lesz.

A szakemberek szerint a PDoS támadásokat a világ számos pontjáról indították a kütyük ellen, jellemzően olyan meghackelt rendszerekről, amiken a Dropbear SSH szerver futott, az internet felé nyitott 22/tcp porttal.

Forrás: Radware