Zagadka skanowania portu 11768/TCP wyjaśniona

LURHQ opublikował analizę bota/robaka o nazwie Dipnet, odpowiedzialnego za skanowanie portu 11768/TCP, o którym niedawno pisaliśmy.

Robak wykorzystywał port 11768/TCP do rozpoznania, czy dana ofiara jest już zainfekowana najnowszą instancją robaka poprzez wysłanie ciągu „__123_asdasdfdjhsdf_SAFasdfhjsdf_fsd123”. Jeżeli atakowany IP nie był zainfekowany, bądź nie był zainfekowany najnowszą wersją robaka, następował atak na port 445/TCP za pomocą znanej luki w LSASS.

Payload robaka ściągany był z URLa wskazanego podczas procesu infekcji, podobnie jak instrukcje dotyczące IP do zaatakowania. Robak instaluje się w systemie jako usługa NetDDEeipx. Celem robaka jest rozpowszechnienie bota do ataków DDoS. Niektóre warianty robaka korzystały z portu 15118 zamiast 11768. Skanowanie portu 15118 obserwowaliśmy jednak tylko w szczątkowej formie.

Więcej informacji:
http://www.lurhq.com/dipnet.html

Źródło informacji: CERT Polska