Botnet-Enzyklopädie

Diese Kampagne ist an dem Bash-Skript mit dem Namen „8UsA.sh“ zu erkennen, das auf infizierten Servern abgelegt wird. Die ersten Vorfälle wurden 2018 beobachtet, die jüngste Angriffswelle begann im Juni 2020. Die angegriffenen Server stellen eine Verbindung zum CnC-Server (Command and Control) her und laden ein für die spezifische Architektur kompiliertes DDoS-Malware-Beispiel herunter. Die C2-Kommunikation erfolgt über Port 5555 und DDoS über Telnet (TCP-Port 23). Der C2-Hauptserver wird offenbar von Frantech Solutions, das seine Dienste nicht mehr anbietet, gehostet.

Bei der 911-Kampagne (Neun-Eins-Eins) wird Sora, eine bekannte Mirai-Variante, eingesetzt. Die Kampagne, die seit Anfang April 2020 aktiv ist, zielt seit mindestens vier Monaten auf IoT-Geräte ab. Aktuellen Berichten zufolge nutzt die Sora-Variante Schwachstellen bei einer Remotecode-Ausführung oder Authentifizierungsumgehung in den GPON-Routern von Huawei und Dasan aus. Ein weiteres Merkmal dieser Variante ist der XOR-Verschlüsselungsschlüssel mit dem Wert „0xDEDEFBAF“. Jede Zeichenfolge im Malwareprozess wird mit diesem Schlüssel im Speicher entschlüsselt und sofort wieder verschlüsselt, um eine speicherbasierte Erkennung zu vermeiden. Der Name dieser Botnet-Kampagne wurde von den eingesetzten Malware-Binärdateien abgeleitet – „911“, mit einer Erweiterung, die der jeweiligen Architektur des Opfers entspricht.

Weitere Informationsmaterialien finden Sie unter CERT.PL | TrendMicro

B3astMode ist ein Mirai-basiertes DDoS-Botnet, das auf SSH-Server, Huawei HG532-Router und IoT-Geräte abzielt. Bei dieser Kampagne versucht der Angreifer, sich mit Brute-Force in SSH-Server zu hacken. Im Erfolgsfall verbindet sich der Angreifer mit dem C&C-Server und lädt die schädliche Payload „B3astMode“ für die jeweilige Architektur des Opfers herunter.

Um das Botnet-Netzwerk des Angriffs zu erweitern, versucht die Malware, 2 RCE-Schwachstellen (Remote Code Execution) auszunutzen:

• CVE-2017-17215 im Huawei-Router über TCP-Port 37215.
• Eine Schwachstelle in DVRs von MVPower über TCP Port 60001.

Durch das Eindringen in diese Geräte kann der Angreifer das Volumen der durchgeführten TCP- und UDP-Flood-Angriffe erhöhen. Zum Zeitpunkt der Artikelerstellung gab es fast 200.000 Geräte, die potenzielle Opfer dieses Angriffs waren.

Weitere Lesematerialien finden Sie unter den folgenden Links:

CERT.PL | TrendMicro

BashLegend ist eine Angriffskampagne, die von einem Hacker namens UzzySenpai betrieben wird. Die ersten Angriffe wurden im Mai 2020 von den Sensoren von Guardicore erfasst, die aktuelle Welle begann Ende August.

Bei dieser Kampagne verübt der Hacker Brute-Force-Angriffe auf öffentliche SSH-Server. Nach erfolgreicher Herstellung einer Verbindung lädt der Angreifer die ausführbare Datei „.0803“ von seinem Command-and-Control-Server herunter. Dabei handelt es sich um eine verschleierte Version des Open-Source-Tools RootHelper, das laut der Beschreibung auf GitHub „die Erweiterung von Berechtigungen auf einem kompromittierten Linux-System unterstützt“.

Anschließend wird ein XMRig Monero Miner zusammen mit einer JSON-Konfiguration heruntergeladen. Seit seinem Auftauchen haben wir beobachtet, dass nur ein einziger Wallet verwendet wurde: 89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY. 

Der BashLegend-Kryptominer benennt seine Worker anhand der Anzahl der CPU-Kerne auf dem kompromittierten Rechner (z. B. 1-Squad, 4-Squad usw.), was uns einen Einblick in die Natur der Opfer vermittelt. Einige aktive Worker haben den Namen 60-Squad, was darauf hindeutet, dass mindestens ein Opfer mit 60 CPU-Kernen von dem Angriff betroffen war. Die in den Angriffsdateien beobachteten Zeichenfolgen in Verbindung mit den ersten Angriffen, die ihren Ursprung in Rumänien haben, legen die Vermutung nahe, dass der Betreiber von BashLegend rumänischer Herkunft ist.

Bins ist eine Familie von DDoS-Angriffskampagnen. Die Malware, die sie verbreiten, ist eine Variante von Mirai, mit verschiedenen Funktionen wie UDP- und TCP-Floods, IP-Spoofing usw. Einige Malware-Samples sind als SSH-Daemon-Prozess oder der ressourcenschonende SSH-Server „DropBear“ getarnt. Die verschiedenen Namen der Malware-Datei geben genau an, welche Architekturen anvisiert werden: mips, mipsel, sh4, x86, armv6l, i686, powerpc, i586, m68k, sparc, armv4l und armv5l.

Weitere Lesematerialien finden Sie unter folgendem Link: 

Stratosphären-IPS

Ein Ransomware-Angriff beginnt mit einem ersten Angriff, der häufig durch Social Engineering, Phishing-E-Mails, schädliche E-Mail-Anhänge oder Schwachstellen im Netzwerkperimeter ermöglicht wird. Die Malware bewegt sich durch Ihr Netzwerk und versucht, den Schaden von ihrem Ausgangspunkt aus zu maximieren. In der Regel versuchen böswillige Akteure, die Kontrolle über einen Domain Controller zu erlangen, Anmeldedaten zu manipulieren und alle Daten-Backups zu lokalisieren und verschlüsseln, um zu verhindern, dass Betreiber infizierte und eingefrorene Dienste wiederherstellen können.

Die Kryptomining-Kampagne FaNeL, die seit Ende 2019 in GGSN zu finden ist, wird offenbar von einem einzelnen Hacker aus Rumänien betrieben. Die FaNeL-Malware kompromittiert Rechner, indem sie in deren SSH-Dienst eindringt, verschiedene Skripte herunterlädt, um die verfügbaren Ressourcen (CPU, Arbeitsspeicher und Festplattenspeicher) zu analysieren, und einen XMRig-Kryptominer ausführt. Die Angriffstools von FaNeL werden anderen Angriffsgruppen und Hackern zur Verfügung gestellt – ASN-Präfixe, Passwortlisten und Speed-Testing-Skripte, um nur einige zu nennen. Einige der von Guardicore erfassten Angriffe sind als „Human“ gekennzeichnet, was bedeutet, dass der Hacker noch dabei ist, den Angriffsablauf und dessen Effizienz zu testen und auszuwerten.

FritzFrog ist ein einzigartiges, ausgeklügeltes P2P-Botnet, das seit Januar 2020 aktiv ist. Angreifer dringen dabei durch Brute-Force-Methoden in SSH-Server ein und setzen einen komplexen, in Golang geschriebenen Wurm ein. Eine Backdoor in Form eines öffentlichen SSH-Schlüssels wird in die authorized_keys-Datei des Opfers geschrieben. Die Malware beginnt sofort damit, am Port 1234 Befehle von ihren Netzwerk-Peers zu empfangen. Die FritzFrog-Malware eliminiert Konkurrenten um Rechenzeit aggressiv, indem sie CPU-fordernde Prozesse auf dem Linux-System abbricht, auf dem sie ausgeführt wird.

Weitere Informationen finden Sie in diesem Blogbeitrag.

GhOul ist eine DDoS-Kampagne, die seit Juni von Guardicore-Sensoren erfasst wird. Erstmalig konnte sie wahrscheinlich jedoch schon im Februar festgestellt werden. GhOul breitet sich über SSH aus, um Linux-basierte Rechner mit DDoS-Malware zu infizieren. Die Malware basiert auf Mirai, wurde für verschiedene Architekturen kompiliert und ähnelt den Varianten Helios und Hakai (siehe Links unten). Die Liste der C2-Befehle umfasst: „TCP, SYN, ACK, XMAS, STOMP, UDPREG, UDPHEX, UDPRAW, HTTPSTOPM, HTTP, VSE, STD, OVH, STOP, KILL“. Alle scheinen DDoS über verschiedene Protokolle mit unterschiedlichen Payload-Formaten zu sein. Die meisten Angriffe, die von den Guardicore-Sensoren erfasst wurden, gingen von Rechnern aus, die zu OVH, Frankreich, gehören. Bei den Command-and-Control-Servern – 8 wurden während des aktiven Zeitraums der Kampagne beobachtet – handelt es sich um Rechner in Deutschland, Frankreich und dem Iran. Die C2-Kommunikation erfolgt über Port 3333, der für den Empfang der Liste der DDoS-Ziele erforderlich ist.

Weitere Lesematerialien finden Sie unter den folgenden Links:

Helios (Security Art Work) | Hakai-Variante (Stratosphären-IPS)

Die k8h3d-Angriffskampagne kombiniert einen Monero-Kryptominer und ein Wurmmodul, das EternalBlue ausnutzt, um sich lateral zu bewegen. Zunächst dringt der Angreifer über MS-SQL in die Rechner der Opfer ein. Dann erstellt der Angreifer einen neuen Nutzer namens „k8h3d“ mit dem Passwort „k8d3j9SjfS7“ und ändert das Administratorpasswort des MS-SQL-Systems in eine zufällige Zeichenfolge. Nachdem der Backdoor-Nutzer erstellt wurde, wird er vom Angreifer verwendet, um über SMB eine Verbindung zum Computer herzustellen und mehrere schädliche Skripte und Binärdateien abzulegen. Dazu gehören unter anderem Dropper, Trojaner, Monero-Kryptominer und EternalBlue-Würmer. Die schädlichen Payloads bleiben aktiv, indem sie geplante Aufgaben und Dienste installieren (mit Namen wie „Autocheck“, „Autoscan“, „Bluetooths“, „DnsScan“, „WebServers“ und „Ddriver“). Darüber hinaus werden Systeminformationen an die Command-and-Control-Server des Angreifers gesendet, von denen weitere Payloads heruntergeladen und ausgeführt werden können.

Weitere Lesematerialien finden Sie unter folgendem Link:

BitDefender

Eine Untersuchung einer kürzlich erfassten ARM-Binärdatei ergab, dass CVE-2021-44228 angepasst wurde, um die vom Mirai-Botnet verwendete Malware zu infizieren und deren Verbreitung zu unterstützen. Wie bereits in früheren Akamai-Blogs erwähnt handelt es sich bei CVE-2021-44228 um eine Schwachstelle in Log4j, die eine unauthentifizierte Remotecodeausführung (RCE) ermöglicht.

Diese Schwachstelle wirkt sich auf mehrere Versionen von Log4j und die davon abhängigen Anwendungen aus. Dazu gehören Apache Struts2, Apache Solr, Apache Druid, Apache Flink und viele andere. Wie bereits erwähnt wird die Installation von Patches gegen diese Sicherheitsanfälligkeit dringend empfohlen. Akamai hat seinen Kunden Regelsätze zur Verfügung gestellt, die zur Abwehr von Angriffen beitragen.

Weitere Informationen finden Sie in diesem Blogbeitrag.

Dies ist eine ziemlich generische Monero-Mining-Botnet-Kampagne, die die Rechner der Opfer über SSH infiziert. Sobald ein Server kompromittiert ist, lädt ein einfaches Bash-Skript die Kryptominer-Payload herunter – eine komprimierte gzip-Datei. Beim Entpacken entsteht der neue Ordner „.ssh“ mit zwei Dateien – der ausführbaren Datei des Miners (namens sshd) und einer JSON-Konfiguration. Während der bisherigen sechsmonatigen Laufzeit hat diese Kampagne ihren Betreibern rund 1.200 US-Dollar eingebracht, wie im HashVault-Pool beobachtet werden konnte. 

Die Betreiber scheinen zum Sammeln der Monero-Coins einen einzigen Wallet verwendet zu haben: 454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk: Die Angriffe auf das Guardicore Global Sensors Network wurden von 6 verschiedenen IPs ausgeführt, die sich sowohl in den USA als auch in Deutschland befanden. Die Anzahl der Angriffe stieg von ca. 20 pro Monat auf über 100 im April.

Nansh0u ist eine aus China stammende Kampagne, die darauf abzielt, Windows MS-SQL- und phpMyAdmin-Server weltweit zu infizieren. Zu den angegriffenen Rechnern gehörten über 50.000 Server von Unternehmen aus den Bereichen Gesundheitswesen, Telekommunikation, Medien und IT. Nach der Kompromittierung wurden die Zielserver mit schädlichen Payloads infiziert. Diese wiederum setzten einen Krypto-Miner ab und installierten ein ausgeklügeltes Rootkit im Kernel-Modus, um zu verhindern, dass die Malware beendet wird.

Bei dieser Kampagne handelt es sich im Gegensatz zu vielen anderen nicht um ein Kryptomining-Botnet. Hier kompromittieren die Angreifer die Rechner der Opfer mithilfe von MySQL-Brute-Force-Angriffen und versuchen dann, die Datenbank zu verschlüsseln. In einer Tabelle mit dem Namen „WARNING“ wird eine wie folgt lautende Lösegeldforderung hinterlassen:

„So stellen Sie Ihre verlorene Datenbank wieder her und vermeiden, dass sie geleakt wird: Senden Sie uns 0,06 Bitcoin (BTC) an unsere Bitcoin-Adresse 1NdeFcTXvUxvWqPP988A4Txcv3LzXmif, und kontaktieren Sie uns per E-Mail (recvr19@protonmail.com) mit Ihrer Server-IP oder Ihrem Domainnamen und einem Zahlungsnachweis. Wenn Sie sich nicht sicher sind, ob wir Ihre Daten haben, kontaktieren Sie uns, und wir senden Ihnen einen Nachweis zu. Ihre Datenbank wurde heruntergeladen und ist auf unseren Servern gesichert. Wenn wir Ihre Zahlung nicht innerhalb der nächsten 10 Tage erhalten, werden wir Ihre Datenbank veröffentlichen oder anderweitig nutzen.“

Zum Zeitpunkt der Artikelerstellung wurden mehr als 30 Bitcoin-Wallet-Adressen in den Lösegeldforderungen verwendet. Deren Guthaben betrug 0,689 BTC, was ungefähr 6.250 US-Dollar entsprach.

Das Smominru-Botnet und dessen verschiedene Varianten – Hexmen und Mykings – sind seit 2017 aktiv. Angriffe damit kompromittieren Windows-Rechner mit einem EternalBlue-Exploit und Brute-Force-Angriffen auf verschiedene Dienste, einschließlich MS-SQL, RDP und Telnet. In der Phase nach der Infektion stiehlt es die Anmeldeinformationen des Opfers, installiert einen Trojaner und einen Kryptominer und verbreitet sich innerhalb des Netzwerks.

UwUsh (oder „Stokers“) ist ein Mirai-ähnliches Botnet. Der erste Angriff erfolgt über SSH. Anschließend wird ein Bash-Skript mit dem Namen „UwUsh“ heruntergeladen und ausgeführt. Das Skript lädt die in UPX verpackte Malware „Stokers“ herunter, die für verschiedene Architekturen entwickelt wurde, und führt jede Version davon in der Hoffnung, dass eine davon erfolgreich sein wird, aus. Die Malware verfügt über verschiedene Fähigkeiten, von denen die bekannteste DDoS über die verschiedenen Pakettypen von UDP, HTTP und TCP ist. Der Bot unterstützt die beiden Befehle „KILLDROPPERS“ und „KILLBINS“, um Konkurrenten (oder vielleicht ältere Versionen der Malware) zu eliminieren. Die in den Stockers-Zeichenfolgen vorkommenden Malware-Namen lauten Ayedz, DEMONS, Execution, Fierce, Josho, Okami, Owari, Tsunami, apep, chiemi, fortnite, gemini, hoho, kowa, kratos, miori, mips.yakuza, mirai, miraint, shiro, sora, yakuza und z3hir. Für jedes Programm in dieser Liste sind Builds für verschiedene Architekturen verfügbar, wie es für Mirai-ähnliche Botnets typisch ist. Zum Zeitpunkt der Artikelerstellung wurde von allen Angriffen das UwUsh-Skript von einem Rechner mit dem Präfix 89.42.133.0/24 heruntergeladen.

Vollgar ist eine lang laufende Angriffskampagne, die darauf abzielt, Windows-Rechner mit MS-SQL-Servern zu infizieren. Die Kampagne, die bis zum Mai 2018 zurückreicht, nutzt die Passwort-Brute-Force-Methode, um in die Rechner von Opfern einzudringen, setzt mehrere Backdoors ein und führt zahlreiche schädliche Module wie multifunktionale RATs (Remote Access Tools) und Kryptominer aus.

Am 17. August 2017 waren mehrere CDNs (Content Delivery Networks) und Inhaltsanbieter schweren Angriffen durch das Botnet „WireX“ ausgesetzt. Der Name des Botnet basiert auf einem Anagramm für eines der beliebtesten Trennzeichen im zugehörigen Command-and-Control-Protokoll. Das WireX-Botnet besteht hauptsächlich aus Android-Geräten, auf denen schädliche Anwendungen ausgeführt werden, und soll DDoS-Traffic (Distributed Denial of Service) generieren. In vereinzelten Fällen erhielten die Opfer auch Lösegeldforderungen.

Weitere Informationen finden Sie in diesem Blogbeitrag.

Yart7 ist eine DDoS-Kampagne, die auf SSH-Server abzielt. Das Botnet verbreitet sich über Brute-Force-Angriffe auf SSH-Server. Nach erfolgreicher Anmeldung stellt der Angreifer eine Verbindung zum C&C-Server her und lädt die bösartige Payload „7rtya“ gemäß der Architektur des jeweils angegriffenen Rechners herunter. Sobald die Malware ausgeführt wird, beginnt der kompromittierte Rechner, über das Telnet-Protokoll (TCP-Port 23) DDoS-Pakete an Zehntausende von IP-Adressen zu senden. Seit Beginn dieser Kampagne Anfang September 2020 wurden nur drei Quell-IPs ermittelt, zwei davon in Österreich. Wir haben die Kampagne Yart7 genannt. Diese Bezeichnung entspricht einem Anagramm des Malware-Dateinamens.

Dieser seit langem bekannte Angriffsfluss reicht bis ins Jahr 2012 zurück. Im Grunde genommen handelt es sich hierbei um einen Dropper (Downloader) für zusätzliche Payloads, der seine URL als Parameter erhält. Der erste Angriff erfolgt über MySQL mittels Brute-Force-Methode. Sobald der Angreifer in eine Datenbank eingedrungen ist, erstellt er eine neue Tabelle mit dem Namen „yongger2“ und schreibt die binäre Payload des Droppers in diese Tabelle. Die Payload wird dann in der Datei „cna12.dll“ gespeichert und ausgeführt. „xpdl3“, eine der exportierten Funktionen, wird verwendet, um zusätzliche Payloads abzulegen und einen Backdoor-Nutzer namens „piress“ zu erstellen. Diese Technik wurde bereits ausführlich beschrieben. In aktuellen Veröffentlichungen wird davon ausgegangen, dass der Dropper für die Verbreitung der GandCrab-Ransomware eingesetzt wurde.

Weitere Lesematerialien finden Sie unter den folgenden Links:

Malware-Notizen | Sophos