Eszközök férgek futtatására

A "The moon" névre keresztelt féreg egy autentikációs hibát kihasználva terjed. A féreg ártalmatlan abban a tekintetben, hogy nem okoz kárt, de a megfertőzött eszközökről megpróbál továbbterjedni.
Eszközök férgek futtatására biztonsági szakértők "honeypot" módszerrel, vagyis egy kutatást szolgáló csalétekkel ejtették csapdába a férget, amelyet áttanulmányoztak.
A kártevőt a nevét a es "The moon" című filmről kapta, mivel a kód tartalmazza az abban szereplő fiktív vállalat, a Lunar Industries logóját.

A féreg az URL-ről XML formátumban lekéri az eszköz típusát és a futtatott firmware verzióját, amelyet ha sebezhetőnek talál, akkor egy CGI scriptet futtat, amely egy sebezhetőség miatt lehetővé teszi további parancsok futtatását a hálózati eszközön, azonosítás nélkül.
A blogbejegyzés alapján a féreg ezt követően egy egyszerű shell scriptet futtat le, amely letölti a payloadot, amely MIPS ELF Executable and Linkable bináris formátumú, és a kutatások eszközök férgek futtatására minden esetben azonos, leszámítva a kód végén található véletlen mintát.

Miután ez a kód lefutott, a fertőzött Linksys router további áldozatokat keres, a SANS szerint a kód beégetve tartalmaz közel különféle hálózati IP-tartományt, amelyek kábel- és DSL-szolgáltatók modemjeihez tartoznak.
A fertőzött router egy beépített HTTP szerveren keresztül szolgálja ki a eszközök férgek futtatására a további megtámadott eszközöknek. Jelentkezik az ingyenes HWSW free!

A SANS blogbejegyzése szerint egyelőre nem lehet biztosan tudni, van-e "command and control" csatorna, vagyis a megtámadott eszközök várnak-e távoli parancsra - ezért is nevezik féregnek, mivel a terjedésen kívül mást nem tesz. A kártevőt felfedezni onnan lehet például, hogy a Linksys routert tartalmazó hálózaton szokatlanul erős a kifelé irányuló forgalom a as vagy as portokon, a bejövő kapcsolatok pedig gyakran nél alacsonyabb portszámon próbálkoznak.

A Linksys otthoni és kisirodai hálózati eszközök sokáig a Cisco tulajdonában voltak, a hálózati eszközök legnagyobb gyártója nagyjából egy éve, elején adta el az üzletágat a Belkinnek. Az új tulajdonos tud a problémáról és már dolgozik a javításon. A felhasználók számos módszerrel kivédhetik ezt a támadást.

Ha kikapcsolják a routeren a távoli adminisztrációt, azzal védetté teszik az eszközt a "The moon" féreg ellen, ha pedig mégis távolról kell adminisztrálniuk, érdemes korlátozni az IP-címet, illetve az adminisztrációs eszközök férgek futtatására portját megváltoztatni eszközök férgek futtatására szokásos ról vagy ról valami másra, a féreg ugyanis ezeket a portokat keresi.