Nieuwe IoT-malware kan herstart van systeem overleven

[Captain Kirk]

Onderzoekers hebben voor het eerst Internet of Things-malware ontdekt die een herstart van het systeem kan overleven. Het gaat om een variant van de "Hide and Seek" bot die onder andere ip-camera's via beveiligingslekken en Telnet-toegang besmet, zo meldt anti-virusbedrijf Bitdefender.

IoT-malware, zoals Mirai, is eenvoudig te verwijderen door het besmette apparaat in kwestie te herstarten. De malware bevindt zich namelijk alleen in het geheugen van het apparaat, dat door een herstart wordt gewist. De nieuwe varianten van Hide and Seek kopiëren zich na een succesvolle infectie echter naar /etc/init.d/ en zorgen ervoor dat ze bij het starten van het systeem worden geladen. Het is hierbij wel nodig dat de infectie via Telnet plaatsvindt, aangezien rootrechten zijn vereist om de malware naar de init.d-directory te kopiëren.

Volgens Bitdefender bevindt het Hide and Seek-botnet, dat uit zo'n 90.000 apparaten bestaat, zich nog in de groeifase. De beheerders zouden dan ook zoveel mogelijk machines proberen te infecteren voordat het botnet voor bijvoorbeeld ddos-aanvallen of andere doelen wordt ingezet. Zo beschikken de nieuwste varianten over twee nieuwe exploits om ip-camera's van onder andere AVTech en Wansview te infecteren.

 

 

bron: security.nl