Ботнет IZ1H9 угрожает роутерам

Ботнет IZ1H9 на основе Mirai представляет серьезную опасность для роутеров  D-Link, Zyxel, TP-Link, TOTOLINK на Linux. Исследователи Fortinet отметили, что пик эксплойтов пришелся на первую неделю сентября, когда были зафиксированы попытки взлома десятков тысяч уязвимых устройств.

IZ1H9 компрометирует устройства, чтобы добавить их к пулу DDos. А после использует роутеры для DDoS-атак на другие цели, преимущественно прочих клиентов, использующих данное устройство.

Полезная нагрузка IZ1H9 при помощи инъекции попадает на устройство, после чего выполняется команда поиска и загрузки скрипта l.sh по указанной ссылке. Запущенный скрипт удаляет логи, чтобы скрыть среды вредоносной деятельности. Он также изменяет правила iptables для устройства, что делает удаление вредоносного ПО с устройства. Далее бот устанавливает соединение с сервером C2. Теперь он может использоваться для различных типов атак, включая UDP, HTTP Flood и TCP SYN.