En ny distribueret denial-of-service, botnet er blevet påvist i naturen.
Opdatering. Ifølge en ny undersøgelse udgivet af AT&T, EnemyBot adopterer nu hurtigt “endags sårbarheder som en del af dets udnyttelsesmuligheder.” Tjenester såsom VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP scriptcase, samt IoT- og Android-enheder bliver også målrettet i disse nye kampagner. Mere specifikt, den seneste variant indeholder en webscan-funktion, der indeholder 24 udnytter til at angribe sårbarheder i de førnævnte enheder og webservere.
Mød EnemyBot
Kaldt EnemyBot og afsløret af FortiGuard Labs forskere, botnettet har en kritisk indvirkning på specifikke enheder, herunder Seowon Intech og D-Link routere, og den udnytter også en nylig rapporteret iRZ-routersårbarhed til at inficere flere enheder. Forskere siger, at det er afledt af Gafgyts kildekode, og har lånt flere moduler fra Mirais originale kildekode. EnemyBotnet er blevet tilskrevet Keksec, en trusselgruppe, der er specialiseret i kryptominering og DDoS-angreb.
EnemyBot tekniske detaljer
Ligesom de fleste botnets, denne inficerer også flere arkitekturer for at øge dens chancer for at inficere flere enheder. Ud over IoT-enheder, Enemybot retter sig også mod desktop- og serverarkitekturer såsom BSD, inklusive Darwin (MacOS), og x64, FortiGuard rapport sagde.
Her er en liste over de arkitekturer, som botnettet er rettet mod:
arm
arm 5
arm 64
arm7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86
formørkelse
EnemyBot bruger obfuscation til at sløre strenge på flere måder:
C2-domænet bruger XOR-kodning med en multi-byte ke
Legitimationsoplysninger til SSH brute-forcing og bot killer søgeord bruger Mirai-stil kodning, dvs., enkeltbyte XOR-kodning med 0x22
Kommandoer er krypteret med en substitutionsciffer, dvs.,, at bytte en karakter ud med en anden
Nogle strenge er kodet ved blot at tilføje tre til den numeriske værdi af hvert tegn
Selvom disse teknikker er enkle, de er effektive nok til at skjule eventuelle indikatorer for malware-tilstedeværelsen fra analyser. Som en kendsgerning, de fleste IoT- og DDoS-botnet er designet til at lokalisere sådanne indikatorer for at forhindre andre botnets i at køre på den samme enhed.
Distribution
Enemybot udnytter flere distributionsteknikker, også typisk for andre lignende botnets, såsom at bruge en liste over hårdkodede brugernavn og adgangskodekombinationer til at logge ind på enheder. Disse enheder er normalt svagt konfigurerede eller bruger standardlegitimationsoplysninger. Mirai brugte samme teknik.
For at inficere forkert konfigurerede Android-enheder med en synlig Android Debud Bridge-port (5555), malwaren forsøger at køre shell-kommandoer. Botnettet bruger også sikkerhedssårbarheder til at målrette mod specifikke enheder, såsom i SEOWON INTECH SLC-130 og SLR-120S routere og CVE-2018-10823 i D-Link routere.
Tidligere i denne måned, vi skrev om et andet botnet afsløret af FortiGuard, som blev betragtet som en anden variant af Mirai. Hedder Uhyretilstand, botnettet udnyttede en liste over specifikke sårbarheder i TOTOLINK-routere.
De kritiske sårbarheder er relativt nye, offentliggjort i perioden mellem februar og marts 2022. Berørt er Linux-platformen. Som følge af sårbarhederne, fjernangribere kunne få kontrol over de udsatte systemer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: