Вредоносный червь Mirai распространяется по сети и добавляет в свой ботнет новые устройства Интернета вещей. Но у него есть сильный противник — защитный червь Hajime. Впервые замеченный в октябре 2016 года, этот ботнет уже взял под защиту более 10 000 сетевых видеокамер, маршрутизаторов, телевизионных приставок и других приборов, подключенных к Интернету.
Каждые 10 минут Hajime выводит в терминале сообщение: «Просто этичный хакер, защищаем некоторые системы. Важные сообщения будут подписаны таким же образом, как это! Автор Hajime. Контакт ЗАКРЫТ. Будьте бдительны!»
В отличие от других ботнетов, Hajime не осуществляет DDoS-атак, не майнит биткоины и не делает никаких вредоносных действий на заражённом устройстве, если не считать сканирования сети в поисках других уязвимых девайсов, которые он тоже заражает с целью защиты. Сканируются порты TCP/23 (telnet) и TCP/5358 (WSDAPI). После заражения червь блокирует четыре порта, которые используются для распространения Mirai и других подобных зловредов: это TCP/23 (telnet), TCP/7547 (TR-069), TCP/5555 (TR-069) и TCP/5358 (WSDAPI).
Hajime использует для заражения тот же список из 61 комбинаций стандартных логинов и паролей, что и Mirai (плюс две дополнительные комбинации: root/5up и Admin/5up для маршрутизаторов и точек доступа Atheros). В общем, это близнецы-братья, только один из них находится на тёмной стороне, а другой — на светлой.
Похожие «добрые» зловреды встречались и раньше. Например, в 2015 году компания Symantec описывала Wifatch, вирус для Linux-систем, который действовал подобным образом.
Инициативу авторов подобных программ можно приветствовать, но не стоит обольщаться: их эффект лишь временный. Зловред хранится в памяти устройства, а после перезагрузки оно снова возвращается в незащищённое состояние, если владелец не позаботился о смене пароля. Со стандартным паролем и открытым для всего мира Telnet устройство всё так же готово для установки Mirai, пишет Symantec.
Несколько дней назад специалисты компании Radware опубликовали технический анализ Hajime. Они делают вывод, что автор — очень квалифицированный программист, который потратил на создание этой программы много времени. Это не какая-то простая поделка. Один простой пример: в отличие от Mirai, этот червь при попытке заражения устройства не перебирает логины и пароли тупо по списку, а считывает текст в форме авторизации на экране, чтобы определить производителя устройства — а уже затем использует стандартные пароли конкретно для этого производителя. Так, при атаке маршрутизатора MikroTik он пытается авторизоваться с именем пользователя “admin” и пустым паролем. Именно такая комбинация по умолчанию указана в документации MikroTik.
Далее, Hajime распространяется через торренты. Для передачи команд и обновлений программы используется протокол uTP BitTorrent — это тоже выгодно отличает его от Mirai и тому подобных ботнетов. К тому же это надёжно защищает Hajime от блокировки. Загрузчик Hajime может загружать код с другого узла в ботнете — не с того, с которого произведено инфицирование. Кроме того, Hajime шифрует коммуникации между своими узлами, подписывая их приватными и открытыми ключами. Коммуникации осуществляются по порту UDP/1457 и ещё одному порту со случайным номером более 1024 для TCP.
География заражений Hajime
Учитывая всё вышесказанное, это явно программа более высокого уровня. Радует, что этичные хакеры (white hat) по своей квалификации превосходят неэтичных (black hat).
Правда, в октябре 2016 года специалисты Rapidity Networks обнаружили уязвимость в реализации прооткола шифрования Hajime, но к настоящему моменту анонимный автор программы закрыл эту уязвимость. Сейчас червь продолжает активно распространяться среди устройств Интернета вещей. Специалисты Radware установили ловушку (honeypot), чтобы изучить коммуникации в ботнете. За пять недель работы ханипота зарегистрировано 14 348 попыток заражения Hajime с 12 023 уникальных IP-адресов. Это говорит о немалом масштабе распространения ботнета, хотя приблизительную оценку размера армии ботов пока дать сложно. Но Hajime сгенерировал 50% активности всех ботнетов IoT, зафиксированных на ханипоте за отчётный период.
Из других интересных особенностей Hajime — использование бэкдора в бэкдоре кабельных модемов ARRIS; динамическая генерация загрузчика по hex-строкам на основе вручную написанных ассемблерных программ, оптимизированных для каждой платформы.
Специалисты по безопасности говорят, что «добрые» намерения хакера в любой момент могут измениться на недобрые. Достаточно выкатить одно обновление для Hajime — оно быстро распространится по торрент-сети, и все десятки или сотни тысяч ботов могут тут же начать, например, DDoS-атаку. Судя по качеству программного обеспечения, Hajime вполне может распространиться очень широко и обогнать Mirai по количеству ботов. И не будет ничего удивительного, если он превратится во вредоносный инструмент через год-два.
Хэши бинарников и файлов Hajime складываются в репозиторий Github. С 28 января по 5 марта основной бинарник обновлялся шесть раз.
Поделиться с друзьями
Комментарии (20)
Artemas_16
28.04.2017 08:37Вредоносный червь Mirai, защитный червь Hajime… Кто-то, по-моему, смотрел Данганронпу)
Qahar
28.04.2017 09:30Ждём аниме в жанре сёнен-ай о бисёненах, которые противоборствуют на поприще хакерства
jetexe
28.04.2017 11:30хм… на сколько я понял, этот червь после заражения перекрывает пути заражения. При перезагрузке устройства удаляется. Соответственно второй раз заразить то же устройство он не сможет. Я правильно всё понял?
Если так, то о каком переходе на тёмную сторону речь?
ieshevyakov
28.04.2017 13:46+3Вау! Он парсит страницу, чтобы узнать производителя! Да это же гений от программирования!
green_worm
28.04.2017 14:38Кстати, вспомнилась очень любопытная повесть. Автор Лазаревич. Дилогия «Червь». С учетом развития обучающегося ИИ, противоборства зловредов и прочего, очень любопытное получается произведение.
ЗЫ спойлерить не буду чем любопытно именно, т.к. наверняка среди читателей ГТ найдется достаточное количество, кому понравится. Сам читал очень давно, но каждый раз при подобных новостях вспоминается.
Sfinx88
28.04.2017 16:46+1У Роберта Шекли есть великолепый рассказ «Страж птица».
СюжетЧеловечество собралось решить проблему убийств с помощью неуправляемых самообучающихся летающих роботов: страж-птиц. Птицы должны защищать от любого посягательства на жизнь. Однако в процессе эксплуатации выясняется, что в процессе самообучения птицы расширили понятие «убийство» и стали считать посягательством на жизнь и рыбную ловлю, и уничтожение насекомых, и хирургические операции. Позже птицы решили, что механизмы — тоже живые существа, поэтому выключение зажигания у машины — убийство. Земле грозило вымирание: птицы не позволяли пахать землю, рвать траву и собирать урожай.
Разработчики создали Ястребов — неуправляемые самообучающиеся летающие машины для убийства страж-птиц. Но Ястребы в процессе самообучения приходят к выводу, что можно убивать и других существ…xztau
29.04.2017 12:48+1А как проверить свой домашний роутер на наличие вирусов?
teecat
30.04.2017 11:41+1да не будет сочтено рекламой — антивирус dr.web для линукс может сканировать роутеры. К сожалению не все — нужно смотреть по документации доступные для проверки. Версия для Виндовс к сожалению такого не может. В принципе это удаленная проверка, поэтому возможно и у иных вендоров есть что
artskep
Дык, другие ботнеты, ЕМНИП, тоже этого до поры не делают.
Как правильно сказано, с очередным обновлением он может начать делать это.
Я так понял, что центр управления неизвестен, так что о «добрых намерениях» мы знаем только по строчке лога, где сказано, что это white hat. И все.
Пока что не очень похоже на «доброго» бота.
Ezhyg
Он блокирует пути заражения (блокирует порты), так что по факту (и пусть только «на текущий момент») — добрый! И ладно бы это было что-то новое, «вирусных защитников» в истории была совсем не одна штука, а вот примеры обратного действия в голову как-то не приходят.
artskep
Вроде как некоторые трояны друг с другом тоже борются блокируя пути заражения (ибо борьба за рынок).
В моем понимании «вирусный защитник» это тот, который блокирует пути заражения и отключается от командного центра. Тогда я готов снять шляпу перед этим доблестным рыцарем.
В принципе, я готов снять шляпу, если он передаст центр управления какой-то уважаемой и публичной организации так, чтобы были видны действия, которые командный центр производит и кто именно это делает (но здесь, конечно, много технических и юридических тонкостей)
Но пока что вся эта сила в руках анонима. И о его целях мы знаем только по тому, что он напечатал в коде, что он white hat. Я, конечно, хочу верить в человечество, но доверять незнакомцу свой кошелек, потому что он сказал, что он хороший человек, я бы не стал. А здесь ценность повесомее кошелька — нехилый ботнет может многого натворить.
AllexIn
Не надо никому ничего доверять.
Знаете об уязвимости — закрываете её. А пока она будет прикрыта этим червем.
Я не в курсе истинных намерений автора. Но на данный момент скорее положительно отношусь, чем отрицательно.
Ezhyg
Я как раз про подобные трояны, черви, вирусы, в общем — «зловреды» и говорил, одни сделаны нихорошками, другие хорошками, но не про борющиеся за передел сфер влияния, а только про защитные.
На надпись как раз плевать, она выдаётся в «терминал» и видят её полтора землекопа, зато остальные «тысячи их» просто защищены закрытыми портами. AllexIn хорошо сказал, присоединяюсь.
artskep
Откуда вы знаете, что автор «хороший», а не блокирует порты, чтобы просто бороться за передел сфер влияния?
И зачем автор оставляет связь с командным центром, с помощью которого он может сделать ботнет «плохим»?
green_worm
Потому как условный зловред без управления сам становится уязвимостью.
Конечно, изменить шапку с белой на любой другой цвет теми же обновлениями ему никто не мешает. Однако, пока этого не произошло, он выполняет защитные функции, что есть хорошо.
mortimoro
Если девайс уязвим, то не суть важно, сейчас ним воспользуется mirai или потом озверевший hajime. По крайней мере, hajime оповещает о проблеме тех, кто в силах ее решить, и дает надежду на светлое будущее тем, кто не в силах.