Satori malware is eerste malware voor ARC systemen

De malware Satori kan nu nog meer Internet of Things (IoT) apparaten aanvallen en toevoegen aan botnets. De laatste versie van de malware is ook in staat systemen met een ARC processor te infecteren.

Dit meldt Arbor Networks, een bedrijf gespecialiseerd in het mitigeren van DDoS-aanvallen, in een security advisory. Satori is malware die in december 2017 voor het eerst werd ontdekt. Sindsdien zijn verschillende varianten van Satori opgedoken. De malware is gebaseerd op de broncode van de Mirai malware, die eind 20176 voor flinke problemen zorgden.

ARC processors

Eerdere versies van Satori maakte misbruik van een zero-day kwetsbaarheid in routers van Huawei (CVE-2017-17215) en een kwetsbaarheid in Realtek's UPNP SOAP interface. Hiermee was de malware gericht op twee specifieke soorten apparaten. De nieuwste versie van Satori kan echter ook ARC gebaseerde apparaten aanvallen. Hiermee is Satori voor zover bekend de eerste malware die gericht is op ARC processors. ARC processors worden gebruikt in uiteenlopende toepassingen, waaronder connected auto's, IoT apparaten en industriële systemen. Jaarlijks worden zo'n 1,5 miljard embedded systemen met ARC processors verscheept.

In het onderstaande overzicht worden de overeenkomsten en verschillen tussen verschillende varianten van Satori weergegeven.

arbor-networks-SatoriTableImage

De overeenkomsten en verschillen tussen de verschillende versies van Satori (bron: Arbor Networks)

Overeenkomsten met Mirai

De nieuwste versie van Satori maakt net als eerdere versies gebruik van code van de Mirai malware. De twee malwarevarianten hebben dan ook verschillende overeenkomsten. Zo worden beide malwarevarianten verspreid via een uitvoerbaar bestand. Zodra dit bestand wordt geopend nestelt de malware zich op het systeem. Vervolgens probeert de malware zich te verspreiden via telnet, waarbij wordt geprobeerd in te loggen met behulp van standaard en eenvoudig te raden inloggegevens.

Zowel de Satori als Mirai malware kunnen worden aangestuurd via een Command and Control server, wat de aanvaller in staat stelt commando's naar geïnfecteerde systemen te sturen. Zo kan de beheerder geïnfecteerde systemen inzetten om DDoS-aanvallen uit te voeren.

Aanvallen mitigeren

Aangezien de verschillende versies van Satori allen code van de Mirai malware gebruiken, stelt Arbor Networks dat het advies dat het bedrijf eerder gaf voor het mitigeren van Mirai-gebaseerde DDoS-aanvallen ook voor Satori-gebaseerde aanvallen geldt. Dit advies is hier te vinden.

Arbor Networks stelt dat de Satori malware opnieuw aantoont dat IoT-apparaten onveilig zijn en misbruikt kunnen worden. Het bedrijf verwacht dat de wijze waarop IoT malware wordt verspreid en aangestuurd evenals de aanvallen die hiermee kunnen worden uitgevoerd de komende tijd gelijk zullen blijven, maar in de toekomst steeds verder zullen worden verfijnd.

Best current practices

Het bedrijf adviseert netwerkbeheerders best current practices (BCP's) te omarmen om dergelijke malware tegen te gaan. Doordat de Satori malware nu ook geschikt is voor ARC en andere embedded processors, kan de malware meer met internet verbonden apparaten aanvallen zoals telefoons en gaming consoles. Netwerkbeheerders moeten volgens Arbor Networks dan ook hun defensieve strategieën heroverwegen om hun netwerk te beschermen tegen geïnfecteerde systemen die op het netwerk actief zijn. "De schade door uitsluitend het scannen en uitgaande DDoS-aanvallen kan verlammend zijn indien netwerkarchitecturele en operationele BCP's niet proactief zijn geïmplementeerd", aldus beveiligingsonderzoekers Pete Arzamendi en Matt Bing en manager van ASERT's Threat Intelligence and Response Team Kirk Soluk. Meer informatie over deze BCP's is hier en hier te vinden.

Lees ook
Onderzoek WatchGuard: sterke stijging evasive malware

Onderzoek WatchGuard: sterke stijging evasive malware

Het gebruik van malware dat detectiemethoden probeert te omzeilen (‘evasive malware’) is het laatste kwartaal van 2023 fors gestegen. Daarnaast hebben hackers het steeds vaker voorzien op Exchange-mailservers. Het aantal ransomwarebesmettingen blijft wel verder afnemen, waarschijnlijk door diverse internationale inspanningen om ransomwarebendes ui1

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Proofpoint's 2024 Data Loss Landscape Report: onzorgvuldige werknemers zijn de grootste oorzaak van dataverlies bij bedrijven

Proofpoint's 2024 Data Loss Landscape Report: onzorgvuldige werknemers zijn de grootste oorzaak van dataverlies bij bedrijven

Proofpoint, Inc. publiceert vandaag het eerste Data Loss Landscape-rapport. Hierin staan resultaten naar aanleiding van onderzoek over hoe huidige Data Loss Prevention (DLP)-aanpakken en dreigingen van binnenuit zich verhouden tot huidige macro-uitdagingen zoals de proliferatie van data, geavanceerde dreigingsactoren en generatieve kunstmatige int1