image

Nieuwe IoT-malware kan herstart van systeem overleven

woensdag 9 mei 2018, 11:33 door Redactie, 1 reacties

Onderzoekers hebben voor het eerst Internet of Things-malware ontdekt die een herstart van het systeem kan overleven. Het gaat om een variant van de "Hide and Seek" bot die onder andere ip-camera's via beveiligingslekken en Telnet-toegang besmet, zo meldt anti-virusbedrijf Bitdefender.

IoT-malware, zoals Mirai, is eenvoudig te verwijderen door het besmette apparaat in kwestie te herstarten. De malware bevindt zich namelijk alleen in het geheugen van het apparaat, dat door een herstart wordt gewist. De nieuwe varianten van Hide and Seek kopiëren zich na een succesvolle infectie echter naar /etc/init.d/ en zorgen ervoor dat ze bij het starten van het systeem worden geladen. Het is hierbij wel nodig dat de infectie via Telnet plaatsvindt, aangezien rootrechten zijn vereist om de malware naar de init.d-directory te kopiëren.

Volgens Bitdefender bevindt het Hide and Seek-botnet, dat uit zo'n 90.000 apparaten bestaat, zich nog in de groeifase. De beheerders zouden dan ook zoveel mogelijk machines proberen te infecteren voordat het botnet voor bijvoorbeeld ddos-aanvallen of andere doelen wordt ingezet. Zo beschikken de nieuwste varianten over twee nieuwe exploits om ip-camera's van onder andere AVTech en Wansview te infecteren.

Reacties (1)
10-05-2018, 22:17 door Anoniem
IoT devices moet men dan ook als volgt ontwikkelen:

- firmware en bootloader in een ROM branden voor offline gebruik
- configuratie en nieuwe firmware bij cols boot uit de cloud halen en op een ramdrive zetten, vervolgens laden
- bij coldboot en geen internet: ROM firmware laden en config van USB stick of sdcard laden, waarbij de poort naar deze opslagsdevices fysiek uitgeschakeld wordt indien er een actieve netwerklink is.

Zo blijft basisfunctiinaliteit van het apparaat altijd gewaarborgd en overleeft geen enkele mallware een reboot.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.