Amnesia Botnet
Amnesia - новая вариация ботнета Tsunami, который строится на базе IoT-устройств. Ботнет Amnesia нацелен на непропатченную уязвимость удаленного выполнения кода, которая была публично раскрыта в марте 2016 года, в устройствах DVR (цифровых видеорегистраторах), произведенных компанией TVT Digital и выпускаемых более чем 70 производителями по всему миру.
Кроме того, Amnesia - это первая вредоносная программа для Linux, использующая методы обхода виртуальных машин для преодоления песочниц анализа вредоносных программ. Методы обхода виртуальных машин чаще всего используются в вредоносных программах для Microsoft Windows и Google Android. Подобно им, Amnesia пытается определить, запущена ли она на виртуальной машине VirtualBox, VMware или QEMU, и если она обнаруживает эти среды, то стирает виртуализированную систему Linux, удаляя все файлы в файловой системе. Это затрагивает не только песочницы для анализа вредоносных программ Linux, но и некоторые Linux-серверы на базе QEMU на VPS или в публичном облаке.
Amnesia использует эту уязвимость для удаленного выполнения кода путем сканирования, поиска и атаки на уязвимые системы. В результате успешной атаки Amnesia получает полный контроль над устройством. Злоумышленники потенциально могут использовать ботнет Amnesia для проведения широких DDoS-атак, аналогичных атакам ботнета Mirai, которые мы наблюдали осенью 2016 года.
Indicators of Compromise
IPv4
- 93.174.95.38
SHA256
- 06d30ba7c96dcaa87ac584c59748708205e813a4dffa7568c1befa52ae5f0374
- 10aa7b3863f34d340f960b89e64319186b6ffb5d2f86bf0da3f05e7dbc5d9653
- 175fe89bbc8e44d45f4d86e0d96288e1e868524efa260ff07cb63194d04ea575
- 1d8bc81acbba0fc56605f60f5a47743491d48dab43b97a40d4a7f6c21caca12a
- 2f9cd1d07c535aae41d5eed1f8851855b95b5b38fb6fe139b5f1ce43ed22df22
- 327f24121d25ca818cf8414c1cc704c3004ae63a65a9128e283d64be03cdd42e
- 37b2b33a8e344efcaca0abe56c6163ae64026ccef65278b232a9170ada1972af
- 3a595e7cc8e32071781e36bbbb680d8578ea307404ec07e3a78a030574da8f96
- 4313af898c5e15a68616f8c40e8c7408f39e0996a9e4cc3e22e27e7aeb2f8d54
- 46ea20e3cf34d1d4cdfd797632c47396d9bdc568a75d550d208b91caa7d43a9b
- 4b0feb1dd459ade96297b361c69690ff69e97ca6ee5710c3dc6a030261ba69e0
- 4db9924decd3e578a6b7ed7476e499f8ed792202499b360204d6f5b807f881b8
- 5e6896b39c57d9609dc1285929b746b06e070886809692a4ac37f9e1b53b250c
- 64f03fff3ed6206337332a05ab9a84282f85a105432a3792e20711b920124707
- 6b2885a4f8c9d84e5dc49830abf7b1edbf1b458d8b9d2bafb680370106f93bc3
- 6b29b65c3886b6734df788cfc6628fbee4ce8921e3c0e8fc017e4dea2da0fd0b
- 885dce73237c4d7b4d481460baffbd5694ab671197e8c285d53b551f893d6c09
- 886136558ec806da5e70369ee22631bfb7fa06c27d16c987b6f6680423bc84b0
- 8f57ec9dfba8cf181a723a6ac2f5a7f50b4550dd33a34637cf0f302c43fd0243
- 9351ee0364bdbb5b2ff7825699e1b1ee319b600ea0726fd9bb56d0bd6c6670cb
- 9c7a5239601a361b67b1aa3f19b462fd894402846f635550a1d63bee75eab0a2
- a010bf82e2c32cba896e04ec8dbff58e32eee9391f6986ab22c612165dad36a0
- ad65c9937a376d9a53168e197d142eb27f04409432c387920c2ecfd7a0b941c8
- aeb480cf01696b7563580b77605558f9474c34d323b05e5e47bf43ff16b67d6a
- b113ec41cc2fd9be9ac712410b9fd3854d7d5ad2dcaac33af2701102382d5815
- b13014435108b34bb7cbcef75c4ef00429b440a2adf22976c31a1645af531252
- b3d0d0e2144bd1ddd27843ef65a2fce382f6d590a8fee286fda49f8074711545
- bdefa773e3f09cdc409f03a09a3982f917a0cc656b306f0ece3dd1a2564a8772
- c03b403d5de9778a2ec5949d869281f13976c2fc5b071e0f5f54277680c80902
- cb2382b818993ef6b8c738618cc74a39ecab243302e13fdddb02943d5ba79483
- ce61dcfc3419ddef25e61b6d30da643a1213aa725d579221f7c2edef40ca2db3
- d0bda184dfa31018fe999dfd9e1f99ca0ef502296c2cccf454dde30e5d3a9df9
- e7d6b3e1fba8cdf2f490031e8eb24cd515a30808cdd4aa15c2a41aa0016f8082
- eb54dc959b3cc03fbd285cef9300c3cd2b7fe86b4adeb5ca7b098f90abb55b8a
- f23fecbb7386a2aa096819d857a48b853095a86c011d454da1fb8e862f2b4583
- f6af2fa4f987df773d37d9bb44841a720817ce3817dbf1e983650b5af9295a16
- f7a737cb73802d54f7758afe4f9d0a7d2ea7fda4240904c0a79abae732605729
- f7cf1e0d7756d1874630d0d697c3b0f3df0632500cff1845b6308b11059deb07
- f97848514b63e9d655a5d554e62f9e102eb477c5767638eeec9efd5c6ad443d8
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Amnesia.
ID | Техника | CWE | Описание | Доверие |
1 | T1059.007 | CWE-79 | Межсайтовый скриптинг | Высокий |
2 | T1068 | CWE-264, CWE-284 | Выполнение с избыточными привилегиями | Высокий |
3 | T1202 | CWE-77 | Командная инъекция | Высокий |