Een nieuw distributed denial-of-service- botnet heeft in het wild waargenomen.
Update. Volgens een nieuw onderzoek vrijgegeven door AT&T, EnemyBot wordt nu snel geadopteerd “eendaagse kwetsbaarheden als onderdeel van de exploitatiemogelijkheden.” Diensten zoals VMware Workspace ONE, Adobe ColdFusion, WordPress, PHP-scriptcase, evenals IoT- en Android-apparaten worden ook getarget in deze nieuwe campagnes. Specifieker, de nieuwste variant bevat een webscan-functie die: 24 exploits om kwetsbaarheden in de bovengenoemde apparaten en webservers aan te vallen.
Ontmoet EnemyBot
Nagesynchroniseerd met EnemyBot en onthuld door FortiGuard Labs-onderzoekers, het botnet heeft een kritische impact op specifieke apparaten, inclusief Seowon Intech en D-Link routers, en het maakt ook gebruik van een recent gemelde kwetsbaarheid van de iRZ-router om meer apparaten te infecteren. Onderzoekers zeggen dat het is afgeleid van de broncode van Gafgyt, en heeft verschillende modules geleend van Mirai's originele broncode. EnemyBotnet is toegeschreven aan Keksec, een dreigingsgroep die gespecialiseerd is in cryptomining en DDoS-aanvallen.
Technische details van EnemyBot
Zoals de meeste botnets, deze infecteert ook meerdere architecturen om de kans te vergroten om meer apparaten te infecteren. Naast IoT-apparaten, Enemybot richt zich ook op desktop- en serverarchitecturen zoals BSD, inclusief Darwin (MacOS), en x64, FortiGuard-rapport zei.
Hier is een lijst van de architecturen waarop het botnet zich richt:
arm
arm5
arm64
arm7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86
verduistering
EnemyBot gebruikt verduistering om strings op verschillende manieren te verdoezelen:
C2-domein gebruikt XOR-codering met een multi-byte ke
Referenties voor SSH brute-forcing en bot killer-sleutelwoorden gebruiken Mirai-achtige codering, d.w.z., enkele byte XOR-codering met 0x22
Opdrachten worden versleuteld met een substitutiecijfer, dat wil zeggen,, het ene karakter voor het andere verwisselen
Sommige tekenreeksen worden gecodeerd door drie toe te voegen aan de numerieke waarde van elk teken
Ook al zijn deze technieken eenvoudig, ze zijn efficiënt genoeg om eventuele indicatoren van de aanwezigheid van malware te verbergen voor analyse. In feite, de meeste IoT- en DDoS-botnets zijn ontworpen om dergelijke indicatoren te lokaliseren om te voorkomen dat andere botnets op hetzelfde apparaat worden uitgevoerd.
Distributie
Enemybot maakt gebruik van verschillende distributietechnieken, ook typisch voor andere vergelijkbare botnets, zoals het gebruik van een lijst met hardgecodeerde combinaties van gebruikersnaam en wachtwoord om in te loggen op apparaten. Deze apparaten zijn meestal zwak geconfigureerd of gebruiken standaardreferenties. Mirai gebruikte dezelfde techniek.
Om verkeerd geconfigureerde Android-apparaten te infecteren met een blootgestelde Android Debud Bridge-poort (5555), de malware probeert shell-opdrachten uit te voeren. Het botnet maakt ook gebruik van beveiligingsproblemen om zich op specifieke apparaten te richten, zoals in SEOWON INTECH SLC-130 en SLR-120S routers en CVE-2018-10823 in D-Link routers.
Eerder deze maand, we schreven over een ander botnet dat werd onthuld door FortiGuard, die werd beschouwd als een andere variant van de Mirai. Gebeld Beest modus, het botnet maakte misbruik van een lijst met specifieke kwetsbaarheden in TOTOLINK-routers.
De kritieke kwetsbaarheden zijn relatief nieuw, bekendgemaakt in de periode tussen februari en maart 2022. Beïnvloed is het Linux-platform. Als gevolg van de kwetsbaarheden, aanvallers op afstand kunnen controle krijgen over de blootgestelde systemen.