- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
Хакеры начали активно распространять вредонос с середины прошлого года, заражая им преимущественно Linux-устройства. Процесс заражения выглядит так:
- Злоумышленник внедряет Zerobot в устройство жертвы, используя одну или несколько уязвимостей;
- Оказавшись в системе, вредонос получает с C&C-сервера специальный скрипт, учитывающий архитектуру CPU жертвы. На данный момент Zerobot поддерживает i386, amd64, arm, arm64, mips, mips64, mips64le, mipsle, ppc64, ppc64le, riscv64 и s390x.
- Загруженный скрипт отвечает за дальнейшее распространение Zerobot.
Стоит отметить, что ботнет использует четыре уязвимости, которым не присвоен идентификатор. Две из них нацелены на терминалы GPON и маршрутизаторы D-Link. Подробностей о двух других пока нет.
Закрепившись в системе, Zerobot подключается к C&C-серверу, используя протокол WebSocket, затем отправляет некоторую информацию о жертве и ждет одну из ответных команд:
- ping – поддерживает подключение;
- attack – запускает атаку с использованием протоколов TCP, UDP, TLS, HTTP, ICMP;
- stop – останавливает атаку;
- update – устанавливает обновление и перезапускает Zerobot;
- enable_scan – запускает поиск открытых портов для дальнейшего распространения вредоноса через эксплойт или взлом SSH/Telnet;
- disable_scan – отключает enable_scan;
- command – запускает команду ОС;
- kill – “убивает” вредоноса. Его процесс можно завершить только так, потому что Zerobot использует модуль Antikill.
