Vypadá to jako log ze suricaty nebo něčeho podobného. Pokud jsem dobře pochopila definice právě v suricatě, tak toto hlášení odpálí prosté použití Hakai/2.0 v http hlavičce coby user agent. Toto údajně dělal malware založený na Mirai, ale je to docela stará věc. Tím chci říct, že ta definice je tam asi už docela dlouho. Možnosti jsou tedy následující:
1. Je to běžná součást autoupdate té NAS, chodilo to vždy, ale provider nasadil Suricatu, alternativně po letech updatoval.
2. Někdo nově něco na té NAS povolil (autoupdate třeba). Na to by ale na těch IP někde něco běželo.
3. Je to skutečně malware
Tak, která z těch variant to bude. Zkusíme vyloučit dvě jednou ranou. Kdyby na tom cíli běžela nějaká služba (typicky autoupdate) nebo obecně něco normálního, musela by jednak běžet na portu 80, protože jinak by se toho Suricata nechytila, navíc by nejspíše běžela trvale. Čili i teď. No, jenže neběží. Tím si myslím, že variantu 1. a 2. můžeme prohlásit za nepravděpodobnou.
Můj názor: Byl tam. A možná ještě je.
Ale kdyby to byl ransomware...tak už je nejspíš hotovo. Toto nejspíše nic nemodifikuje (protože tím v podstatě dá svůj kod k analýze), jen to stroj začlení do botnetu, případně těží nějakou kryptoměnu, nic víc to nejspíš dělat nebude.
2 Odpovědí
3146 Zhlédnutí