A botnet felépítése és ellenállóképessége
A kompromittált routerek átlagos napi száma már eléri a 14 ezret, míg tavaly augusztusban még csak 10 ezret jegyeztek fel. A készülékek túlnyomó többsége az Egyesült Államokban található, de észleltek fertőzött hálózati eszközöket Tajvanon, Hongkongban és Oroszországban is. A KadNap különlegessége, hogy Kademlia-algoritmusra épülő peer-to-peer hálózatot alkalmaz. Ez a struktúra elrejti a botnet vezérlőszervereinek IP-címét, így hagyományos eszközökkel szinte lehetetlen felszámolni vagy nyomon követni.
Az ilyen, elosztott hash-táblákon alapuló hálózatokat már régóta használják a BitTorrenthez és más decentralizált szolgáltatásokhoz. Ezekben nincs központi szerver, amely koordinálna; ehelyett minden résztvevő képes lekérdezni a hálózat többi tagját. Ez a decentralizáció strapabíróvá és kezelhetetlenné teszi a rendszert, ezért is tud a KadNap hosszú távon észrevétlenül működni.
Hogyan működik a fertőzés?
A Kademlia-protokoll 160 bites címeket, úgynevezett „kulcsokat” és „node ID-kat” rendel a hálózat tagjaihoz, majd ezek alapján találja meg a keresett célokat. Ha egy router kérést indít, először néhány ismert BitTorrent-csomóponthoz fordul egy jelszóval ellátott kéréssel, majd azok, amelyek felismerik a kérést, további címeket adnak meg. Ez addig ismétlődik, amíg el nem jut a tényleges vezérlőszerverhez, amely megadja a routernek a szükséges utasításokat, például egy parancsot, amely a tűzfalon átengedi a 22-es portot, majd egy második fájlban megadja a tényleges irányító (C2) címét is.
A botnet valódi célja és védekezési lehetőségek
Ennek ellenére a kutatóknak sikerült kidolgozniuk egy módszert, amellyel blokkolható minden adatforgalom a botnet vezérlőinfrastruktúrája felé és az onnan érkező forgalom. A Black Lotus Labs friss támadási mintákat is nyilvánosságra hozott, hogy mások is felismerhessék a fertőzött eszközöket.
A KadNap-fertőzött eszközök elsődleges felhasználási módja a különféle bűncselekményekhez köthető proxyszolgáltatás, amely sokszor gyanútlan otthoni felhasználók sávszélességét és jó hírű IP-címét használja ki. Az így létrehozott hálózat segítségével a megrendelők gyorsan, hatékonyan és anonim módon férnek hozzá máskülönben elérhetetlen weboldalakhoz.
Akik attól tartanak, hogy routerük megfertőződött, ellenőrizhetik az IP-címüket, illetve a naplófájlokban szereplő hashkódokat. A tisztítás egyetlen módja a gyári visszaállítás, mivel a KadNap minden újraindításkor automatikusan újratelepül – a puszta újraindítás önmagában nem segít. Fontos, hogy minden elérhető firmware-frissítést telepítsünk, az adminisztrátori jelszó legyen erős, és a távoli hozzáférés maradjon letiltva, ha nincs rá feltétlenül szükség.
