新しい 分散型サービス拒否 ボットネット 野生で検出されました.
アップデート. ATが発表した新しい研究によると&T, EnemyBotは現在すぐに採用しています “悪用機能の一部としての1日の脆弱性。” VMwareWorkspaceONEなどのサービス, AdobeColdFusion, WordPress, PHPスクリプトケース, IoTやAndroidデバイスだけでなく、これらの新しいキャンペーンのターゲットにもなっています. すなわち, 最新のバリアントには、以下を含むWebスキャン機能が含まれています 24 前述のデバイスおよびWebサーバーの脆弱性を攻撃するためのエクスプロイト.
EnemyBotに会う
EnemyBotと吹き替えられ、FortiGuardLabsの研究者によって開示されました, ボットネットは特定のデバイスに重大な影響を及ぼします, SeowonIntechおよびD-Linkルーターを含む, また、最近報告されたiRZルーターの脆弱性を悪用して、より多くのデバイスに感染します. 研究者はそれがGafgytのソースコードから派生したと言います, みらいちゃんのオリジナルソースコードからいくつかのモジュールを借りてきました. EnemyBotnetはKeksecに起因しています, 暗号マイニングとDDoS攻撃を専門とする脅威グループ.
EnemyBotの技術的な詳細
ほとんどのボットネットのように, これは複数のアーキテクチャにも感染し、より多くのデバイスに感染する可能性を高めます. IoTデバイスに加えて, Enemybotは、BSDなどのデスクトップおよびサーバーアーキテクチャも対象としています。, ダーウィンを含む (マックOS), およびx64, FortiGuardレポート 言った.
ボットネットが対象とするアーキテクチャのリストは次のとおりです:
腕
arm5
arm64
arm7
bsd
ダーウィン
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86
難読化
EnemyBotは、いくつかの方法で文字列を難読化するために難読化を使用します:
C2ドメインは、マルチバイトkeでXORエンコーディングを使用します
SSHブルートフォーシングおよびボットキラーキーワードのクレデンシャルは、Miraiスタイルのエンコーディングを使用します, すなわち, 0x22のシングルバイトXORエンコーディング
コマンドは換字式暗号で暗号化されます, すなわち,, ある文字を別の文字に交換する
一部の文字列は、各文字の数値に3を加えるだけでエンコードされます
これらのテクニックは単純ですが, それらは、マルウェアの存在の指標を分析から隠すのに十分効率的です. 実際のところ, ほとんどのIoTおよびDDoSボットネットは、そのようなインジケーターを見つけて、他のボットネットが同じデバイスで実行されないようにするように設計されています.
分布
Enemybotはいくつかの配布手法を活用しています, 他の同様のボットネットでも一般的, ハードコードされたユーザー名とパスワードの組み合わせのリストを使用してデバイスにログインするなど. これらのデバイスは通常、構成が弱いか、デフォルトのクレデンシャルを使用します. みらいちゃんも同じテクニックを使った.
誤って構成されたAndroidデバイスを公開されたAndroidDebudBridgeポートに感染させるには (5555), マルウェアはシェルコマンドの実行を試みます. ボットネットは、セキュリティの脆弱性を使用して特定のデバイスを標的にします, SEOWON INTECH SLC-130およびSLR-120Sルーター、D-LinkルーターのCVE-2018-10823など.
今月上旬, FortiGuardによって開示された別のボットネットについて書きました, みらいの別の変種と考えられていた. と呼ばれる ビーストモード, ボットネットは、TOTOLINKルーターの特定の脆弱性のリストを悪用していました.
重大な脆弱性は比較的新しいものです, 2月から3月までの期間に開示 2022. 影響を受けるのはLinuxプラットフォームです. 脆弱性の結果として, リモートの攻撃者は、公開されたシステムを制御できる可能性があります.