Вредонос используется злоумышленниками для взлома систем управления реляционными базами данных PHPMyAdmin,
Специалисты компании «Доктор Веб»
Как полагают аналитики, изначально троян, получивший название Linux.PNScan.1 (по классификации «Доктор Веб»), устанавливается на атакуемые маршрутизаторы самим вирусописателем. К примеру, с использованием уязвимости ShellShock путем запуска сценария с соответствующими параметрами. Затем он загружается и устанавливается на целевые маршрутизаторы другими троянами, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным предназначением вредоноса является взлом маршрутизатора и загрузка вредоносного скрипта, устанавливающего на маршрутизатор бэкдоры.
При запуске вредоносного ПО используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак, отмечают специалисты, эксплуатируются RCE-уязвимости для запуска соответствующего sh-сценария. Так, для маршрутизаторов от компании Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и брешь CVE-2013-2678. При этом для авторизации вредонос пытается подобрать сочетание логина и пароля по специальному словарю. Также троян активно эксплуатирует уязвимость ShellShock (CVE-2014-6271) и брешь в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Далее троян загружает многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (ACK Flood, SYN Flood, UDP Flood и пр.), и выполнять команды злоумышленников, в том числе на загрузку инструмента для взлома административной панели системы управления реляционными базами данных PhpMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых содержится словарь для подбора пары имя пользователя/пароль, а в другом – путь к административной панели PhpMyAdmin.
Специалисты компании «Доктор Веб»
Для просмотра ссылки необходимо нажать
Вход или Регистрация
новую вредоносную программу, способную инфицировать маршрутизаторы с архитектурой ARM, MIPS и PowerPC, работающие под управлением ОС Linux. Данный вредонос используется злоумышленниками для загрузки других опасных приложений на целевой маршрутизатор, для взлома систем управления реляционными базами данных PHPMyAdmin, а также подбора логинов и паролей для несанкционированного доступа по протоколу SSH к различным устройствам и серверам.Как полагают аналитики, изначально троян, получивший название Linux.PNScan.1 (по классификации «Доктор Веб»), устанавливается на атакуемые маршрутизаторы самим вирусописателем. К примеру, с использованием уязвимости ShellShock путем запуска сценария с соответствующими параметрами. Затем он загружается и устанавливается на целевые маршрутизаторы другими троянами, которые, в свою очередь, распространяются с использованием самого Linux.PNScan.1. Единственным предназначением вредоноса является взлом маршрутизатора и загрузка вредоносного скрипта, устанавливающего на маршрутизатор бэкдоры.
При запуске вредоносного ПО используются входные параметры, определяющие диапазон IP-адресов для последующего сканирования, а также тип атаки. При проведении атак, отмечают специалисты, эксплуатируются RCE-уязвимости для запуска соответствующего sh-сценария. Так, для маршрутизаторов от компании Linksys применяется атака на уязвимость в протоколе HNAP (Home Network Administration Protocol) и брешь CVE-2013-2678. При этом для авторизации вредонос пытается подобрать сочетание логина и пароля по специальному словарю. Также троян активно эксплуатирует уязвимость ShellShock (CVE-2014-6271) и брешь в подсистеме удаленного вызова команд маршрутизаторов Fritz!Box.
Далее троян загружает многофункциональные бэкдоры, способные осуществлять DDoS-атаки различных типов (ACK Flood, SYN Flood, UDP Flood и пр.), и выполнять команды злоумышленников, в том числе на загрузку инструмента для взлома административной панели системы управления реляционными базами данных PhpMyAdmin. В процессе запуска этот скрипт получает диапазон IP-адресов и два файла, в одном из которых содержится словарь для подбора пары имя пользователя/пароль, а в другом – путь к административной панели PhpMyAdmin.