Ttint, daha önce bu tür botnetlerde görülen uzaktan erişim araçları benzeri (RAT) özellikleri de içeren yeni bir IoT botnet biçimidir.
Neredeyse bir yıldır, bir tehdit aktörü Tenda yönlendiricilerine kötü amaçlı yazılım yüklemek ve IoT botnet’i oluşturmak için 0-day güvenlik açıklarını kullanıyor.
Ttint adlı bu botnet, ilk olarak Çinli İnternet Güvenliği şirketi Qihoo360’ın ağ güvenliği bölümü olan Netlab tarafından Cuma günü yayınlanan raporda açıklanmıştı.
Geçmişte görülen sayısız IoT botnet aksine Netlab araştırmacılarına göre Ttint farklı özelliklere de sahip. Yalnızca DDoS saldırıları gerçekleştirmekle kalmayıp enfekte olmuş yönlendiricilere 12 farklı uzaktan erişim yöntemi uygulayabilir, yönlendiricileri trafiği aktarmak için proxy olarak kullanabilir, yönlendiricinin güvenlik duvarı ve DNS ayarlarını kurcalayabilir ve hatta saldırganlara enfekte olmuş cihazlarda uzaktan komut çalıştırma imkanı sunabiliyor.
Netlab, AC9 ve AC18 arasında bir ürün yazılım sürümü çalıştıran Tenda yönlendiricilerinin savunmasız kabul edildiğini açıkladı. DNS ayarlarını değiştirebildiği görüldüğünden kullanıcılara kötü amaçlı site yönlendirmesi yapılabilir. Bu güvenlik açıklarının bulunup bulunmadığını kontrol etmek isteyen kullanıcılar yönlendiricilerinin kontrol panelinden ürün yazılım sürümlerini kontrol edebilirler.
Tenda tarafından bu güvenlik açığıyla ilgili yama paylaşılmadığı için Netlab raporunda yeni 0-day ile ilgili detay bulunmuyor.
Netlab bu yönlendiricilere sahip olanların ise ilgili IoC’leri izlemesini ve engellemesini önerdi.
IoC
IP:
34.92.85.21 Hong Kong ASN15169 GOOGLE 34.92.139.186 Hong Kong ASN15169 GOOGLE 43.249.29.56 Hong Kong ASN133115 HK Kwaifong Group Limited 45.249.92.60 Hong Kong ASN133115 HK Kwaifong Group Limited 45.249.92.72 Hong Kong ASN133115 HK Kwaifong Group Limited 103.60.220.48 Hong Kong ASN133115 HK Kwaifong Group Limited 103.108.142.92 Hong Kong ASN133115 HK Kwaifong Group Limited 103.243.183.248 Hong Kong ASN133115 HK Kwaifong Group Limited
C2:
cnc.notepod2.com:23231 back.notepod2.com:80 q9uvveypiB.notepod2.com:443
Update Server:
uhyg8v.notepod2.com:5001
URL:
http://45.112.205.60/td.sh http://45.112.205.60/ttint.i686 http://45.112.205.60/ttint.arm5el http://45.112.205.60/ttint.mipsel http://34.92.139.186:5001/bot/get.sh http://34.92.139.186:5001/bot/ttint.mipsel http://34.92.139.186:5001/bot/ttint.x86_64
MD5:
3e6a16bcf7a9e9e0be25ae28551150f5 4ee942a0153ed74eb9a98f7ad321ec97 6bff8b6fd606e795385b84437d1e1e0a 733f71eb6cfca905e8904d0fb785fb43 a89cefdf71f2fced35fba8612ad07174 c5cb2b438ba6d809f1f71c776376d293 cfc0f745941ce1ec024cb86b1fd244f3 73ffd45ab46415b41831faee138f306e