Menu
Home  /  Malware  /  ESET rileva il Remaiten, il bot di Linux che attacca i router e altri dispositivi IoT.

ESET rileva il Remaiten, il bot di Linux che attacca i router e altri dispositivi IoT.

Linux/Remaiten combina le funzionalità delle due precedenti versioni di questa bot, a cui ha aggiunto un meccanismo di diffusione unico nel suo genere

I ricercatori di ESET hanno identificato una nuova e più potente versione di Kaiten, un malware controllato tramite Internet Relay Chat (IRC) usato di solito per effettuare degli attacchi DDoS(Distributed Denial of Services). Il malware rimasterizzato è stato soprannominato Linux/Remaiten e prende di mira apparati di rete come router, gateway e access point wireless e potenzialmente anche dispositivi IoT equipaggiati con sistemi operativi Linux.

I ricercatori di ESET hanno finora individuato tre varianti di Linux /Remaiten, identificate come le versioni 2.0, 2.1 e 2.2. In base all’analisi del codice, la principale novità di questa versione è il suo sofisticato meccanismo di diffusione: utilizzando di base il sistema di scansione telnet di Linux/Gafgyt, Linux/Remaiten ne migliora il meccanismo di diffusione riuscendo a inviare il proprio codice binario eseguibile su apparati di rete come router e altri dispositivi collegati, cercando di colpire soprattutto quelli protetti da credenziali deboli.

Il lavoro del componente Downloader, incorporato nel binario del bot stesso, è di richiedere il codice binario del bot Linux/Remaiten al suo server di comando e controllo. Quando questo viene eseguito crea un altro bot che potrà poi essere usato dai criminali. I ricercatori di ESET hanno notato che questa tecnica era già stata usata dal Linux/Moose per diffondere infezioni.

È curioso che questa variante del malware includa un messaggio destinato a chiunque tenti di neutralizzare questa minaccia: all’interno del messaggio di benvenuto, la versione 2.0 cita direttamente malwaremustdie.org che ha pubblicato informazioni dettagliate su Gafgyt, Tsunami e altri membri di questa famiglia di malware.

Sample del bot

Versione 2.0

SHA-1 Nome rilevazione ESET
2ff0b69bc5aaca82edb6a364ee9f6ad3c5fdd71c Linux/Remaiten.A
bd8256d469aa42c6c57e8e6f91ef5b4782bd2cb7 Linux/Remaiten.A
3b233834ee962adb111a002bb64e594175e7c1e2 Linux/Remaiten.A
52210b49c47c6ad6fe34c70d6faf49e2763c0d9d Linux/Remaiten.A
11807e5aa5dc1c14f8d509ea410eeb778896830d Linux/Remaiten.A

Versione 2.1

SHA-1 Nome rilevazione ESET
e097c882eda2bd508dd9a3be72efce6fd2971f11 Linux/Remaiten.B
d4d70d0022e06b391b31195c030ac9bc6e716cce Linux/Remaiten.B
2e901502263d50c1ab65e7516bb8534c28d41265 Linux/Remaiten.B
b9d8b993943872a19a1d4838570d7dcc9f374c20 Linux/Remaiten.B
977efab8a7cce22530c3bdeca860a342e232eeb3 Linux/Remaiten.B

Versione 2.2

SHA-1 Nome rilevazione ESET
0e5b982c8d55b78582da733d31e8b652c9da9f6e Linux/Remaiten.C
4e2dfcd4a3e14b05b268b4a6df76479984932675 Linux/Remaiten.C
9f5f24bda7af3ed95c72c9b77d5a9c5807ca1be9 Linux/Remaiten.C
35b00e2243157171be6a7d7bc9b32f98805dcd35 Linux/Remaiten.C
537f8847d786923a9401889e6ee23675d96f2692 Linux/Remaiten.C
eefa249de2f7f08bcf4629d3e2055b06f1d74ae3 Linux/Remaiten.C
f3c4a7e8785355894482bce4f791d92e1c1da5b2 Linux/Remaiten.C
46cd369bce4f6a41d8863c46dd778c1b1c4f8df0 Linux/Remaiten.C
efd3a698dda376333c2dd84714f92f25539d4589 Linux/Remaiten.C
3dd804feef00bd8dbfb3a48e75120328e1cb041a Linux/Remaiten.C
f8354d8cc946e8b137f9013fc3d44720f321dc48 Linux/Remaiten.C
b912a07528e1afabbaa01d99bcbb66498dee0406 Linux/Remaiten.C
359dd2f9646eb3fad979f4a658bc2ff74488c457 Linux/Remaiten.C
898e2d91d64ebb26cc049d78bdeeda87f2bc4f1a Linux/Remaiten.C
17d3c799e7f1c77be5d7b3d03eaa630a2f261449 Linux/Remaiten.C
17dcfdcc39b21ad64864a386070cc633e9965c3d Linux/Remaiten.C
d1c6511a84ca27e2c08b89a683db9878e83c8637 Linux/Remaiten.C
024136cbc562cff6f3ce31d213fc9fe7a78510f9 Linux/Remaiten.C
a2432461d56c7beec98e4a15ddf91a1ea6d41c1b Linux/Remaiten.C
9f795334a7201b2c6c0ad9ffeb2103ed464f0c5f Linux/Remaiten.C
e375ecd544368b77f686fb3f3a000844782a647b Linux/Remaiten.C
0ca049baf56a6c4d01c6d183ef1acfa65d2be1e3 Linux/Remaiten.C

Sample del downloader

Versione 2.0

SHA-1 Nome rilevazione ESET
25a7cf2969ce154aa90891e844a6af84fc89d396 Linux/Remaiten.A
1fe1872cf18cd0101f0870ca58f68d6686010326 Linux/Remaiten.A
1cc2b57978ba2e611403ba11bf9129fb810fae5c Linux/Remaiten.A
c552edd72495514765f6a8f26aee8a6da2a57992 Linux/Remaiten.A

Versione 2.1

SHA-1 Nome rilevazione ESET
e875f54b7bd967c4f9ae59d85ed60991561b097b Linux/Remaiten.A
ebf2bc43b6b5a4b8933f4ed8ed4a4beaceaecff5 Linux/Remaiten.A
11a13d2eeb71573178d7686930340c51c8f3ce26 Linux/Remaiten.A
8d26cd7d34d84745a897d474aa2ac9b8d1943d68 Linux/Remaiten.A

Versione 2.2

SHA-1 Nome rilevazione ESET
e80aba63ba30a2048ba780c35eae65e8b95627f7 Linux/Remaiten.A
e280b220c2ea2668d1a2ad82bdc64922e8b9ec86 Linux/Remaiten.A
8decb1f0e94497ef31f13c6e07ff2a021cf0972f Linux/Remaiten.A
17006c899fbce3f86ddfb93539033c363816ad19 Linux/Remaiten.A

C&C

Versione 2.0

Bot 185.130.104.131:443
Downloader 185.130.104.131:25566

Versione 2.1

Bot 185.130.5.201:53
Downloader 185.130.5.201:25566

Versione 2.2

Bot 185.130.5.202:23
Downloader 185.130.5.202:443

Articoli Simili

Lascia un commento

© 2001 - 2020 - Tutti i diritti riservati. I marchi usati nel sito sono registrati da Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2020. P.IVA 06677001007