Uma nova Negação de serviço distribuída botnet foi detectado na natureza.
Atualizar. De acordo com uma nova pesquisa divulgada pela AT&T, EnemyBot agora está adotando rapidamente “vulnerabilidades de um dia como parte de suas capacidades de exploração.” Serviços como VMware Workspace ONE, Adobe ColdFusion, WordPress, Scriptcase PHP, bem como dispositivos IoT e Android também estão sendo segmentados nessas novas campanhas. Mais especificamente, a última variante inclui uma função de webscan que contém 24 exploits para atacar vulnerabilidades nos dispositivos e servidores web acima mencionados.
Conheça o EnemyBot
Apelidado de EnemyBot e divulgado por pesquisadores do FortiGuard Labs, a botnet tem um impacto crítico em dispositivos específicos, incluindo roteadores Seowon Intech e D-Link, e também explora uma vulnerabilidade de roteador iRZ relatada recentemente para infectar mais dispositivos. Pesquisadores dizem que foi derivado do código-fonte do Gafgyt, e emprestou vários módulos do código-fonte original do Mirai. EnemyBotnet foi atribuído a Keksec, um grupo de ameaças especializado em criptomineração e ataques DDoS.
Detalhes técnicos do EnemyBot
Como a maioria dos botnets, este também infecta várias arquiteturas para aumentar suas chances de infectar mais dispositivos. Além de dispositivos IoT, O Enemybot também tem como alvo arquiteturas de desktop e servidor, como BSD, incluindo Darwin (Mac OS), e x64, Relatório FortiGuard disse.
Aqui está uma lista das arquiteturas que o botnet tem como alvo:
braço
arm5
braço64
braço7
BSD
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sh4
spc
x64
X86
Ofuscação
EnemyBot usa ofuscação para ofuscar strings de várias maneiras:
O domínio C2 usa a codificação XOR com um ke de vários bytes
As credenciais para palavras-chave SSH brute-forcing e bot killer usam codificação no estilo Mirai, i.e., codificação XOR de byte único com 0x22
Os comandos são criptografados com uma cifra de substituição, i.e,, trocando um personagem por outro
Algumas strings são codificadas apenas adicionando três ao valor numérico de cada caractere
Embora essas técnicas sejam simples, eles são eficientes o suficiente para ocultar quaisquer indicadores da presença de malware da análise. De fato, a maioria dos botnets IoT e DDoS são projetados para localizar esses indicadores para impedir que outros botnets sejam executados no mesmo dispositivo.
Distribuição
Enemybot aproveita várias técnicas de distribuição, também típico para outros botnets semelhantes, como usar uma lista de combinações de nome de usuário e senha codificadas para fazer login em dispositivos. Esses dispositivos geralmente são configurados de forma fraca ou usam credenciais padrão. Mirai usou a mesma técnica.
Para infectar dispositivos Android mal configurados com uma porta exposta do Android Debud Bridge (5555), o malware tenta executar comandos do shell. O botnet também usa vulnerabilidades de segurança para direcionar dispositivos específicos, como em roteadores SEOWON INTECH SLC-130 e SLR-120S e CVE-2018-10823 em roteadores D-Link.
No início deste mês, escrevemos sobre outro botnet divulgado pelo FortiGuard, que foi considerado outra variante do Mirai. Chamado Modo animal, o botnet estava explorando uma lista de vulnerabilidades específicas nos roteadores TOTOLINK.
As vulnerabilidades críticas são relativamente novas, divulgados no período entre fevereiro e março 2022. Afetada é a plataforma Linux. Como resultado das vulnerabilidades, invasores remotos podem obter controle sobre os sistemas expostos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: