Компания Microsoft раскрыла, как троянский ботнет Trickbot использовал взломанные маршрутизаторы MikroTik для скрытой связи с зараженными ПК.
Ботнет Trickbot, известный кражей банковских учетных данных и распространением программ-вымогателей, казалось, когда-то был неудержим. Он продолжал процветать, несмотря на усилия, предпринятые Microsoft в 2020 году для исправления миллионов зараженных ПК и уничтожения большинства его командно-контрольных (CnC) серверов, за исключением CnC-устройств Интернета вещей, пока в начале этого года его окончательно не eybxnj;bkb.
Теперь Microsoft добавила деталей о том, как IoT-устройства, использованные бандой TrickBot в качестве элементов CnC-инфраструктуры - а именно взломанные маршрутизаторы MikroTik - с 2018 года обеспечивали скрытные коммуникации с зараженными ПК.
Еще в 2018 году, когда многие хакеры использовали уязвимость CVE-2018-14847 в программном обеспечении RouterOS компании MikroTik, исследователи безопасности обнаружили, что Tickbot использовал взломанные маршрутизаторы MikroTik для своей CnC-инфраструктуры.
Маршрутизаторы являются полезным инструментом, поскольку обеспечивают связь между CnC-серверами и зараженными Trickbot компьютерами таким образом, что стандартные средства защиты не могут ее обнаружить. Исследователи безопасности Microsoft утверждают, что теперь им удалось выяснить, как именно эти устройства использовались в инфраструктуре ботнета.
Получив контроль над маршрутизатором через скомпрометированный пароль, Trickbot использовал оболочку SSH RouterOS для создания набора команд, которые RouterOS понимает, но не имеющих смысла в обычных оболочках на базе Linux. SSH предназначен для обеспечения безопасных сетевых коммуникаций через незащищенную сеть. Конечной целью было перенаправление трафика скомпрометированного маршрутизатора.
«Эта команда создавала новое сетевое правило, которое перенаправляло трафик с зараженного устройства на сервер, причем перенаправленный трафик принимался с порта 449 и перенаправлялся на порт 80» - поясняют исследователи Microsoft.
«Указанная команда является легитимной командой трансляции сетевых адресов (NAT), которая позволяет маршрутизатору NAT выполнять перезапись IP-адресов. В данном случае она используется для вредоносной деятельности. Trickbot известен тем, что использует порты 443 и 449, и мы смогли проверить, что некоторые целевые серверы в прошлом были идентифицированы как CnC-серверы TrickBot».
«По мере развития и совершенствования решений безопасности для обычных вычислительных устройств злоумышленники будут искать альтернативные способы компрометации целевых сетей. Попытки атак на маршрутизаторы и другие устройства IoT не новы, и, будучи неуправляемыми, они легко могут стать самыми слабыми звеньями в сети. Поэтому организациям следует учитывать эти устройства при внедрении политик безопасности и лучших практик» - говорится в сообщении Microsoft. Также в отчете содержится подробная информация о том, как узнать, пострадали ли ваши маршрутизаторы.
Несмотря на дурную славу и долговечность Trickbot, исследователи из Intel 471, участвовавшие в уничтожении ботнета в 2020 году, заявили, что к февралю этого года вредоносная программа Trickbot была на последнем издыхании, а ее бывшие разработчики перешли к новым вредоносным программам, таким как BazarLoader и шифровальщик Conti.
«Intel 471 не может достоверно этого подтвердить, но вполне вероятно, что операторы Trickbot постепенно вывели данного вредоноса из своей деятельности в пользу других платформ, таких как Emotet. В конце концов, Trickbot - это относительно старое вредоносное ПО, которое не подвергалось серьезным обновлениям. Вероятность его обнаружения высока, а сетевой трафик, связанный с общением ботов, легко распознается» - сообщают исследователи.
Источник: https://www.zdnet.com
