Yeni bir gizli botnet zincirleri saldırıları Yeni bir botnet vaftiz edilmiş Ayysshus, Asus yönlendiricilerini hedefliyor. 9.000'den fazla uçak zaten tehlikeye atıldı. Kalıcı erişim sunan çalıntı bir kapı sayesinde, Korsanlar büyük bir yeni botnet kurmak istiyor. Yönlendiricinize siber bir saldırı durumunda bunu açıklıyoruz.
Grinnoise güvenlik araştırmacıları, Rady, Ayysshus'ın altına girmeye çalışan yeni bir botnet fark ettiler. Virüs uzlaşmayı başardı 9.000'den fazla ASUS yönlendiricisi. Bir parçası olarak “İşletim kampanyası” Hala devam ediyor, korsanlar elde edebildi “Yetkisiz ve Kalıcı Erişim” Binlerce cihaz.
Geynoise raporuna göre, tüm bu cihazlar kurmak için tehlikeye atıldı. “Gelecek bir botnet”Yani bir zombi yönlendiricileri ağı. Bu gelecekteki bootnet'in tam genişlemede ne olduğu bilinmemektedir. Yine de, kötü niyetli senaryo oldu İndir ve yürütülmüş Tehlikeye atılan cihazlardan birinde. Bu senaryo, amaç ile enjekte edildi. Ağ trafiğini yeniden yönlendir Korsanın uzaktan kontrol ettiği cihazlara doğru.
Sonlarını elde etmek için, siber suçlular, bir dizi bağlantı tanımlayıcının sağa düşme noktasına ve birkaç eski güvenlik açıklarına dayanan kaba kuvvet saldırılarına güvenir. Korsanlar özellikle faaliyet gösteriyor Bir sipariş enjeksiyon kusuru (enjeksiyon komutu) ASUS yönlendiricilerinin birkaç modelini etkiliyor, RT -ax55. Bu güvenlik açığı, bir siber suçlu, yönlendiriciyi kabul etmemesi gereken talimatları yapmaya zorlamaya izin verir.
Bu nedenle, cihaza kalıcı erişim sunan arka kapıyı kurabilir. Yazılımın yeniden başlatılması veya güncellenmesi durumunda bile, korsan yönlendiricinin kontrolünü korur. Gerçekten de, yönlendiricinin yazılım güncellemelerinden koruyan NVRAM (voltil olmayan rastgele erişim belleği) belleğinde gizlenir. Forvet “Kötü niyetli yazılım kullanmadan veya bariz izler bırakmadan uzun vadeli erişimi sürdürür”.
Geynoise uzmanlarına göre, Ayysshus tarafından düzenlenen saldırılar Sekoia'dan araştırmacıların son keşifleriyle bağlantılı. Fransız araştırmacılar gerçekten de özellikle Asus yönlendiricilerini hedefleyen büyük bir kampanya belirlediler. “Viciustrap” adı altında bahsedilen işlem, ASUS yönlendiricilerini de hedefler ve aynı güvenlik kusurunu çalıştırır. Korsanlar ayrıca BMC denetleyicileri gibi diğer cihazları da hedeflemek (İçin Süpürgelik yönetim denetleyicisi) D-Link, Linksys, QNAP ve Araknis ağları veya yönlendiriciler Soho'yu imzaladı.
İyi haber, Asus korsanları sömürdü. Üretici, ilgili tüm ASUS RT -AX55 modellerine bir düzeltici kullandı. Tüm kullanıcıları tavsiye ediyoruz Yönlendiricilerini güncelleyin mümkün olan en kısa sürede.
Ardından TCP 53282 bağlantı noktasının açık olup olmadığını kontrol edin. Bu bağlantı noktası, cihazı uzaktan kontrol etmenizi sağlayan bir SSH bağlantısı için kullanılabilir. Bu işlevi hiç etkinleştirmediyseniz, sözleşmeniz olmadan başka biri bunu yapmış olabilir. SSH'ye bağlanmasına izin verilen anahtarların listesini içeren Jassered_Keys dosyasına bir göz atın. Bu dosyada bilinmeyen bir anahtar görünürse, bu, onayınız olmadan uzaktan erişim eklendiği anlamına gelir.
Yönlendiricinizden saldırıya uğradığından şüpheleniyorsanız, geçmeniz gerekecek Fabrika ayarlarına sıfırlayın. Düzeltmenin kurulumu dik kapıdan kurtulmak için yeterli değildir. Ardından cihazı manuel olarak yeniden yapılandırın. Son olarak, Graynoise, botnet ile bağlantılı IP adreslerinin engellenmesini tavsiye eder, yani 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237.
Güznoise
Grinnoise güvenlik araştırmacıları, Rady, Ayysshus'ın altına girmeye çalışan yeni bir botnet fark ettiler. Virüs uzlaşmayı başardı 9.000'den fazla ASUS yönlendiricisi. Bir parçası olarak “İşletim kampanyası” Hala devam ediyor, korsanlar elde edebildi “Yetkisiz ve Kalıcı Erişim” Binlerce cihaz.
Geynoise raporuna göre, tüm bu cihazlar kurmak için tehlikeye atıldı. “Gelecek bir botnet”Yani bir zombi yönlendiricileri ağı. Bu gelecekteki bootnet'in tam genişlemede ne olduğu bilinmemektedir. Yine de, kötü niyetli senaryo oldu İndir ve yürütülmüş Tehlikeye atılan cihazlardan birinde. Bu senaryo, amaç ile enjekte edildi. Ağ trafiğini yeniden yönlendir Korsanın uzaktan kontrol ettiği cihazlara doğru.
Uzlaşma yönlendiricilerine sürekli erişim
Sonlarını elde etmek için, siber suçlular, bir dizi bağlantı tanımlayıcının sağa düşme noktasına ve birkaç eski güvenlik açıklarına dayanan kaba kuvvet saldırılarına güvenir. Korsanlar özellikle faaliyet gösteriyor Bir sipariş enjeksiyon kusuru (enjeksiyon komutu) ASUS yönlendiricilerinin birkaç modelini etkiliyor, RT -ax55. Bu güvenlik açığı, bir siber suçlu, yönlendiriciyi kabul etmemesi gereken talimatları yapmaya zorlamaya izin verir.
Bu nedenle, cihaza kalıcı erişim sunan arka kapıyı kurabilir. Yazılımın yeniden başlatılması veya güncellenmesi durumunda bile, korsan yönlendiricinin kontrolünü korur. Gerçekten de, yönlendiricinin yazılım güncellemelerinden koruyan NVRAM (voltil olmayan rastgele erişim belleği) belleğinde gizlenir. Forvet “Kötü niyetli yazılım kullanmadan veya bariz izler bırakmadan uzun vadeli erişimi sürdürür”.
Geynoise uzmanlarına göre, Ayysshus tarafından düzenlenen saldırılar Sekoia'dan araştırmacıların son keşifleriyle bağlantılı. Fransız araştırmacılar gerçekten de özellikle Asus yönlendiricilerini hedefleyen büyük bir kampanya belirlediler. “Viciustrap” adı altında bahsedilen işlem, ASUS yönlendiricilerini de hedefler ve aynı güvenlik kusurunu çalıştırır. Korsanlar ayrıca BMC denetleyicileri gibi diğer cihazları da hedeflemek (İçin Süpürgelik yönetim denetleyicisi) D-Link, Linksys, QNAP ve Araknis ağları veya yönlendiriciler Soho'yu imzaladı.
Hacking durumunda ne yapmalı?
İyi haber, Asus korsanları sömürdü. Üretici, ilgili tüm ASUS RT -AX55 modellerine bir düzeltici kullandı. Tüm kullanıcıları tavsiye ediyoruz Yönlendiricilerini güncelleyin mümkün olan en kısa sürede.
Ardından TCP 53282 bağlantı noktasının açık olup olmadığını kontrol edin. Bu bağlantı noktası, cihazı uzaktan kontrol etmenizi sağlayan bir SSH bağlantısı için kullanılabilir. Bu işlevi hiç etkinleştirmediyseniz, sözleşmeniz olmadan başka biri bunu yapmış olabilir. SSH'ye bağlanmasına izin verilen anahtarların listesini içeren Jassered_Keys dosyasına bir göz atın. Bu dosyada bilinmeyen bir anahtar görünürse, bu, onayınız olmadan uzaktan erişim eklendiği anlamına gelir.
Yönlendiricinizden saldırıya uğradığından şüpheleniyorsanız, geçmeniz gerekecek Fabrika ayarlarına sıfırlayın. Düzeltmenin kurulumu dik kapıdan kurtulmak için yeterli değildir. Ardından cihazı manuel olarak yeniden yapılandırın. Son olarak, Graynoise, botnet ile bağlantılı IP adreslerinin engellenmesini tavsiye eder, yani 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179, 111.90.146[.]237.
Kaynak :Herhangi bir 01net haberini kaçırmamak için bizi Google News ve WhatsApp'ta takip edin.
Güznoise