Malware

Remaiten Bot ของ Linux ที่กำลังไล่โจมตีเร้าเตอร์ และอาจจะลามถึงอุปกรณ์อื่น

นักวิจัยของ ESET กำลังเดินหน้าตรวจสอบมัลแวร์ที่มีเป้าหมายโจมตี เร้าเตอร์ เกตเวย์ และ จุดเชื่อมต่อไร้สาย เร็วๆนี้เราพบว่า Remaiten มีความสามารถเหมือนไวรัส Tsunami ผสมกับ Gafgyt และมีจุดเด่นใหม่ๆ พวกเราเรียกไวรัสนี้ว่า Linux/Remaiten จนถึงตอนนี้ เราพบสามเวอร์ชั่นของ Linux/Ramaiten คือ 2.0, 2.1 และ 2.2 แบ่งตามโค้ดที่ผู้สร้างเขียน ซึ่งผู้เขียนตั้งชื่อให้มัลแวร์ตัวนี้ว่า “KTN-Remastered” หรือ “KTN-RM”

การแพร่กระจายของ Remaiten

จุดเด่นของ Linux/Gafgyt คือการสแกน Telnet* เมื่อได้รับคำสั่งให้ดำเนินการสแกน Telnet มัลแวร์จะพยายามเชื่อมต่อกับที่อยู่ไอพี ที่สามารถเข้าถึงได้จาก Port หมายเลข 23 และถ้าหากมันทำสำเร็จ มัลแวร์จะเดารหัสจากรายชื่อ บัญชีและรหัสผ่าน หากขั้นตอนนี้สำเร็จ มันจะปล่อยโครงสร้างที่ใช้ดาวน์โหลด ไฟล์ EXE ของมัลแวร์และเปิดใช้งาน

Linux/Remaiten พัฒนาจุดเด่นของ Gafgyt โดยการบรรจุตัวดาวน์โหลดเป็นไฟล์ EXE ที่นิยมใช้บนอุปกรณ์สำเร็จรูปของ Linux อย่างเช่น ARM และ MIPS หลักจากล็อคอินด้วย Telnet บนอุปกรณ์ของเป้าหมาย มันจะค้นหาแพลตฟอร์มของอุปกรณ์และส่งตัวดาวน์โหลดที่เหมาะสมเข้าไปในอุปกรณ์ และหากผู้ใช้เปิดใช้งานก็จะทำให้อุปกรณ์ติดไวรัสทันที

*Telnet คือ การเชื่อมต่อที่อนุญาตให้คอมพิวเตอร์เครื่องหนึ่งสามารถล็อคอินบนคอมพิวเตอร์อีกเครื่องหนึ่งที่อยู่บนเครือข่ายเดียวกัน

1 comment on “Remaiten Bot ของ Linux ที่กำลังไล่โจมตีเร้าเตอร์ และอาจจะลามถึงอุปกรณ์อื่น

%d bloggers like this: