Botnet IoT sử dụng thông tin xác thực mặc định của C&C Server Databases

Botnet IoT sử dụng thông tin xác thực mặc định của C&C Server Databases

June 6, 2018 | hieulx

Một biến thể của botnet IoT, được gọi là Owari, dựa trên các thông tin mặc định hoặc yếu để hack các thiết bị IoT không an toàn đã được tìm thấy. Cơ chế hoạt động của Owari là sử dụng các chứng nhận mặc định trong máy chủ MySQL được tích hợp với máy chủ command and control (C&C), nó cho phép mọi người đọc/ghi cơ sở dữ liệu của họ.

Ankit Anubhav, nhà nghiên cứu của công ty bảo mật IoT NewSky Security đã phát hiện và đăng tải thông tin về botnet này trên blog. Ông cũng cô bố chi tiết cách mà botnet tự kết hợp username và password cho cơ sở dữ liệu trên máy chủ C&C của họ.

Đoán xem các thông tin đăng nhập có thể là gì?

Username: root
Password: root

Những thông tin đăng nhập này giúp Anubhav có được quyền truy cập vào botnet và lấy thông tin chi tiết về các thiết bị bị ảnh hưởng, chủ nhân của botnet, khách hàng của họ, người đã thuê botnet để khởi động các cuộc tấn công DDoS.

Botnet IoT sử dụng thông tin xác thực mặc định của C&C Server Databases 2

Bên cạnh đó, Anubhav cũng có thể thấy giới hạn thời gian của cuộc tấn công như trong bao lâu một khách hàng có thể thực hiện tấn công DDoS, các bot có sẵn tối đa cho một cuộc tấn công, và danh sách các IP khác nhau được tấn công DDoS.

Anubhav cũng tìm thấy một botnet khác, cũng được xây dựng với phiên bản Owari và cơ sở dữ liệu của nó cũng bị phơi bày thông qua các credential yếu.

Các máy chủ C&C của cả hai botnet được đặt tại 80.211.232.43 và 80.211.45.89, hiện đang ngoại tuyến, vì “các nhà khai thác botnet nhận thức được rằng các IP của họ sẽ bị gắn cờ sớm do lưu lượng mạng xấu (bad network traffic)”, Anubhav cho biết.

Tags: , ,