ภัยใหม่ของ IoT – IoT_reaper malware

หลังจากช่วงไม่กี่ปีก่อนหน้านี้โลกได้รู้จัก malware ของ IoT ที่ชื่อว่า Mirai Botnet ทำให้โลกถูก DDoS ด้วย traffic มหาศาล ล่าสุดมีตัวใหม่มาแล้วนั่นคือ IoT_reaper นั่นเอง

IoT_reaper เริ่มขยายมากขึ้นทุกที โดยล่าสุดจากการเข้าไปดูหนึ่งใน C&C Server ของ IoT_reaper พบว่ามีเครื่องที่ถูกติดตั้ง malware ตัวนี้และยัง active อยู่ถึง 10,000 IP Address ในขณะเดียวกันก็ยังมี IoT อีกเป็นล้านที่มีช่องโหว่รอให้ IoT_reaper เข้าไปโจมตี

จากการตรวจสอบของผู้เชี่ยวชาญพบว่า IoT_reaper แตกต่างจาก Mirai ตรงที่ไม่ได้เป็นการ brute force IoT แต่อย่างใด แต่กลายเป็นว่าใช้ exploit ในการโจมตีแทน โดย ณ​ ปัจจุบัน IoT_reaper มีการใช้ exploit ถึง 9 แบบ

• Dlink https://blogs.securiteam.com/index.php/archives/3364
• Goahead https://pierrekim.github.io/blog/2017-03-08-camera-goahead-0day.html
• JAWS https://www.pentestpartners.com/blog/pwning-cctv-cameras/
• Netgear https://blogs.securiteam.com/index.php/archives/3409
• Vacron NVR https://blogs.securiteam.com/index.php/archives/3445
• Netgear http://seclists.org/bugtraq/2013/Jun/8
• Linksys http://www.s3cur1ty.de/m1adv2013-004
• dlink http://www.s3cur1ty.de/m1adv2013-003
• AVTECH https://github.com/Trietptm-on-Security/AVTECH

ซึ่งถ้าย้อนกลับไปเมื่อ 10 วันก่อน มีการเพิ่ม exploit เข้ามาถึง 2 ตัว

• Vacron NVR remote exploit ถูกเปิดเผยเมื่อ 2017-10-08 และจะถูกเพิ่มเข้าไปใน bot sample ตอน 2017-10-10;
• 3 และ 1 exploits มีการเพิ่มเข้ามาในตัวอย่างในวันที่ 2017-10-12 และ 2017-10-16;

อีกทั้งใน IoT_reaper ยังมีการเตรียม DNS ที่สามารถทำ open resolver ได้เป็น 100 IP ทำให้การจะทำ DNS Amplification สามารถทำได้ทันที

จากทั้งหมดสรุปผลกระทบได้ดังนี้

• จำนวนเครื่องมือที่มีช่องโหว่ที่อยู่ใน list ที่ C&C Server list ไว้ก่อนสั่ง malware ที่โจมตีมีอยู่ประมาณ 2 ล้านเครื่อง
• bots ที่ถูก control โดย​ C&C Server ตัวเดียวในรอบ 7 วันที่ผ่านมามากกว่า 20,000 เครื่อง
• จำนวน bot ที่ยังคง active ในแต่ละวันที่ C&C Server ตัวที่ศึกษาประมาณ 10,000 เครื่อง
• จำนวนเครื่องที่ online และถูกสร้างโดย C&C ประมาณ 4,000 เครื่อง

Source:: netlab