Експерти по информационна безопасност съобщиха, че са разкрили устойчива на премахване ботнет мрежа от 14 000 рутера и други мрежови устройства - предимно произведени от Asus. Те са били включени в прокси мрежа, която анонимно прехвърля трафик, използван за киберпрестъпления.
Зловредният софтуер с името KadNap се разпространява чрез използване на уязвимости, които не са били отстранени от производителите, заяви пред изданието Ars Крис Формоза, специалист от Black Lotus Labs на компанията по информационна безопасност Lumen. Високата концентрация на рутери на Asus вероятно се дължи на това, че операторите на ботнети са се сдобили с надежден експлойт за уязвимостите, засягащи тези модели. Той каза, че е малко вероятно нападателите да използват някакви уязвимости от типа „нулев ден“ в операцията.
Броят на заразените рутери достига средно около 14 000 на ден, което е повече от 10-те хиляди през август миналата година, когато Black Lotus откри ботнета. Компрометираните устройства се намират предимно в САЩ и в по-малка степен в Тайван, Хонконг и Русия. Една от най-съществените характеристики на KadNap е сложният peer-to-peer дизайн, базиран на Kademlia - мрежова структура, която използва разпределени хеш-таблици за прикриване на IP адресите на сървърите за управление и контрол. Този подход осигурява устойчивост на ботнета срещу неговото откриване и премахване чрез традиционните методи.
„Ботнетът KadNap се отличава сред другите, които поддържат анонимни проксита, с използването на peer-to-peer мрежа за децентрализиран контрол“, съобщиха Формоза и колегата му от Black Lotus Стив Ръд. „Намерението им е ясно: да избегнат откриването и да затруднят защитата на потребителите“.
Разпределените хеш-таблици отдавна се използват за създаване на защитени peer-to-peer мрежи, най-вече BitTorrent и Inter-Planetary File System. Вместо да има един или повече централизирани сървъри, които пряко да контролират възлите и да им предоставят IP адресите на други възли, DHT дават възможност на всеки възел да прави запитване до другите възли за търсеното от него устройство или сървър. Децентрализираната структура и заместването на IP адресите с хешове осигуряват на мрежата устойчивост срещу превземане и атаки от типа отказ на услуга.
Концепцията за DHT може да бъде трудна за възприемане. На опростено ниво това е структура от данни, съхранявана на множество мрежови равнопоставени устройства. Този дизайн осигурява мащабируемост на мрежата. Колкото повече са мрежовите възли, толкова по-добро е разпределението на елементите. DHT също така осигурява устойчивостта на мрежите към грешки. Когато един възел напусне мрежата, другите възли се насочват към друго място за търсене на местоположение. Теоретично единственият начин да се срине мрежата е да се прекъснат всички свързани възли.
Въпреки устойчивостта към обичайните методи за премахване, Black Lotus твърди, че е разработил средство за блокиране на целия мрежови трафик към и от контролната инфраструктура













Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари