Enciclopedia sobre botnets

Esta campaña se identifica con la secuencia de comandos bash que distribuye en servidores infectados, que se denomina 8UsA.sh. Sus primeros incidentes se detectaron en 2018; sin embargo, la ola de ataques más reciente comenzó en junio de 2020. Los servidores vulnerados se conectan al servidor de mando y control, y descargan una muestra de malware DDoS, compilada para la arquitectura específica. La comunicación C2 se realiza a través del puerto 5555 y el ataque DDoS se realiza a través de Telnet (puerto TCP 23). Parece que el C2 principal está alojado por Frantech Solutions, que ya no presta servicio.

La campaña 911 (Nine-One-One) despliega una variante conocida de Mirai llamada Sora. Activa desde principios de abril de 2020, la campaña se ha dirigido a dispositivos de IoT durante al menos cuatro meses. La variante Sora, según informes recientes, aprovecha las vulnerabilidades de ejecución remota de código y de omisión de autenticación en los routers GPON de Huawei y Dasan, respectivamente. Otra característica de esta variante es su clave de cifrado XOR, el valor 0xDEDEFBAF. Cada cadena del proceso de malware se descifra en la memoria con esta clave y se cifra inmediatamente de nuevo para evitar la detección basada en la memoria. El nombre de esta campaña de botnets se deriva de los binarios de malware desplegados, "911", con una extensión que se corresponde con la arquitectura de la víctima.

Para obtener materiales de lectura adicionales, visite  CERT.PL (polaco) | TrendMicro

El modo B3astMode es una botnet DDoS basado en Mirai que se dirige a servidores SSH, routers HG532 de Huawei y dispositivos IoT. En esta campaña, el atacante intenta acceder a servidores SSH utilizando la fuerza bruta. En caso de éxito, el atacante se conecta al servidor C&C y descarga una carga maliciosa llamada B3astMode, según la arquitectura de la víctima.

Con el fin de expandir la red de botnets del ataque, el malware intenta aprovechar 2 vulnerabilidades de ejecución remota de código (RCE):

• CVE-2017-17215 en el router Huawei a través del puerto TCP 37215.
• Una vulnerabilidad en las DVR fabricadas por MVPower a través del puerto TCP 60001.

Mediante la vulneración de estos dispositivos, el atacante amplifica el volumen de los ataques de inundación TCP y UDP llevados a cabo. En el momento de la redacción de este informe, había casi 200 000 dispositivos que eran posibles víctimas de este ataque.

Para obtener materiales de lectura adicionales, visite los siguientes enlaces:

CERT.PL (polaco) | TrendMicro

BashLegend es una campaña de ataques operada por un hacker llamado UzzySenpai. Los sensores de Akamai Guardicore Segmentation detectaron los primeros incidentes de su ataque en mayo de 2020; sin embargo, su ola actual comenzó a finales de agosto.

En esta campaña, el hacker utiliza la fuerza bruta para acceder a los servidores públicos SSH. Después de una conexión correcta, el atacante descarga un archivo ejecutable llamado .0803 desde su servidor de mando y control. Este archivo es una versión oculta de una herramienta de código abierto llamada RootHelper, que "ayuda en el proceso de escalado de privilegios en un sistema de Linux comprometido", según su descripción en GitHub.

Posteriormente, se descarga un minero XMRig Monero junto con una configuración JSON. Desde su aparición, hemos observado que se está utilizando solo un monedero: 89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY. 

La criptominería de BashLegend nombra a sus trabajadores usando el número de núcleos de CPU del equipo comprometido, por ejemplo, 1-Squad, 4-Squad, etc., lo que nos da una visión de la naturaleza de las víctimas. Algunos trabajadores activos se denominan 60-Squad, lo que indica que el ataque llegó al menos a una víctima con 60 núcleos de CPU. Las cadenas que se han observado en los archivos de ataque, junto con los incidentes del primer ataque (que se originaron en Rumanía), indican firmemente que el operador de BashLegend es de origen rumano.

Bins es una familia de campañas de ataques DDoS. El malware que propagan es una variante de Mirai, con varias funciones como inundaciones UDP y TCP, suplantación de IP, etc. Algunas muestras de malware se disfrazan del proceso daemon SSH o el servidor SSH ligero "DropBear". Los diferentes nombres del archivo de malware indican exactamente a qué arquitecturas están dirigidas: mips, mipsel, sh4, x86, armv6l, i686, powerpc, i586, m68k, sparc, armv4l y armv5l.

Para obtener materiales de lectura adicionales, visite el siguiente enlace: 

Stratosphere IPS

Un ataque de ransomware comienza con una filtración inicial. A menudo, esta se produce a través de técnicas de ingeniería social, correos electrónicos de phishing, un archivo adjunto malicioso o vulnerabilidades en el perímetro de la red. El malware comenzará a propagarse por su red e intentará hacer todo el daño posible desde su punto de entrada inicial. Normalmente, los agentes maliciosos buscan hacerse con el control de un controlador de dominio, obtener las credenciales y localizar y cifrar cualquier copia de seguridad de datos para evitar que los equipos de seguridad restauren los servicios infectados y congelados.

Vista en GGSN desde finales de 2019, parece que la campaña de criptominería FaNeL está operada por un hacker individual con sede en Rumanía. FaNeL compromete los equipos al vulnerar sus servicios SSH, descargar varias secuencias de comandos para analizar los recursos disponibles (CPU, memoria y espacio en disco) y ejecutar una campaña de criptominería XMRig. Las herramientas de ataque de FaNeL están disponibles para otros grupos de ataques y aficionados: prefijos de ASN, listas de contraseñas y secuencias de comandos de prueba de velocidad, por nombrar algunos. Algunos de los ataques detectados por Akamai Guardicore Segmentation se etiquetan como "humanos", lo que implica que el hacker aún está probando y evaluando el flujo de ataques y su eficacia.

FritzFrog es una botnet P2P exclusiva y sofisticada, activa desde enero de 2020. Los atacantes despliegan un complejo malware de gusano escrito en Golang para vulnerar servidores SSH utilizando la fuerza bruta. Se agrega una puerta trasera en forma de clave SSH pública al archivo authorized_keys de la víctima. El malware comienza a escuchar inmediatamente en el puerto 1234, donde recibirá comandos de sus compañeros de red. El malware FritzFrog trabaja arduamente para eliminar a los competidores, ya que elimina los procesos que exigen CPU en el sistema de Linux donde se ejecuta.

Para obtener más información, visite la publicación del blog aquí.

GhOul es una campaña DDoS detectada por los sensores de Akamai Guardicore Segmentation desde junio. Sin embargo, se observó incluso antes, alrededor de febrero. GhOul se propaga a través de SSH para infectar equipos basados en Linux con malware DDoS. El malware está basado en Mirai, está compilado para diversas arquitecturas y es similar a las variantes Helios y Hakai (consulte los enlaces que aparecen a continuación). Su lista de comandos C2 incluye: "TCP, SYN, ACK, XMAS, STOMP, UDPREG, UDPHEX, UDPRAW, HTTPSTOPM, HTTP, VSE, STD, OVH, STOP, KILL"; todos parecen ser DDoS a través de varios protocolos que utilizan diferentes formatos de carga maliciosa. La mayoría de los ataques detectados por los sensores de Akamai Guardicore Segmentation se originaron en equipos pertenecientes a OVH, en Francia. Los servidores de mando y control (8 detectados durante el periodo activo de la campaña) se encuentran en equipos con sede en Alemania, Francia e Irán. La comunicación C2 se realiza a través del puerto 3333, según sea necesario para recibir la lista de objetivos DDoS.

Para obtener materiales de lectura adicionales, visite los siguientes enlaces:

Helios (Security Art Work) | Hakai variant (Stratosphere IPS)

La campaña de ataques k8h3d combina una campaña de criptominería Monero y un módulo de gusano que vulnera a EternalBlue para obtener movimiento lateral. Inicialmente, el atacante vulnera los equipos de las víctimas a través de MS-SQL. Luego, el atacante crea un nuevo usuario llamado "k8h3d" con la contraseña "k8d3j9SjfS7" y cambia la contraseña de administración del sistema MS-SQL a una cadena aleatoria. Una vez creado el usuario de puerta trasera, el atacante lo utiliza para conectarse al equipo a través de SMB y dejar varias secuencias de comando maliciosas y archivos binarios. Estos incluyen un dropper, un troyano, una campaña de criptominería Monero y un gusano EternalBlue, entre otros. Las cargas maliciosas siguen siendo persistentes al instalar tareas y servicios programados (los nombres incluyen "Autocheck", "Autoscan", "Bluetooths", "DnsScan", "WebServers" y "Ddriver"). Además, la información del sistema se envía a los servidores de mando y control del atacante, desde los cuales se pueden descargar y ejecutar cargas maliciosas adicionales.

Para obtener materiales de lectura adicionales, visite el siguiente enlace:

BitDefender

Un examen de un binario ARM detectado recientemente reveló la adaptación de CVE-2021-44228 para infectar y ayudar en la proliferación del malware que utiliza la botnet Mirai. Como se mencionó en blogs anteriores de Akamai, CVE-2021-44228 es una vulnerabilidad de RCE no autenticada en Log4j.

Esta vulnerabilidad afecta a varias versiones de Log4j y a las aplicaciones que dependen de ella. Entre estas se incluyen Apache Struts2, Apache Solr, Apache Druid, Apache Flink y muchas otras. Tal y como se ha mencionado anteriormente, se recomienda encarecidamente la aplicación de parches contra esta vulnerabilidad, y Akamai ha desplegado conjuntos de reglas para los clientes que ayudarán a mitigar los ataques.

Para obtener más información, visite la publicación del blog aquí.

Se trata de una campaña bastante genérica de botnets de minería Monero que infecta los equipos de las víctimas a través de SSH. Una vez que un servidor se ve comprometido, una secuencia de comandos Bash simple descargará la carga maliciosa de criptominería: un archivo gzip comprimido. Al descomprimirlo, se obtiene una nueva carpeta, .ssh, con dos archivos: el archivo ejecutable de criptominería (llamado sshd) y una configuración JSON. Durante su vida útil de seis meses (hasta la fecha), esta campaña ha hecho que sus operadores obtengan cerca de 1200 $, tal como se observa en el grupo HashVault. 

Los operadores parecen haber usado un solo monedero para agregar sus monedas Monero: 454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk. Los ataques a la red de sensores globales de Akamai Guardicore Segmentation se han originado desde 6 IP diferentes, con sede en EE. UU. y en Alemania. La cantidad de incidentes de ataque pasó de aproximadamente 20 al mes a más de 100 incidentes en abril.

Nansh0u es una campaña china que tiene como objetivo infectar servidores de Windows MS-SQL y phpMyAdmin en todo el mundo. Los equipos vulnerados incluían más de 50 000 servidores pertenecientes a empresas en los sectores de atención sanitaria, telecomunicaciones, multimedia y TI. Una vez comprometidos, los servidores de destino se infectaron con cargas maliciosas. Estos, a su vez, descargaron un ataque de criptominería e instalaron un sofisticado rootkit de modo kernel para evitar que el malware se eliminara.

Esta campaña, a diferencia de muchas otras, no es una botnet de criptominería. Aquí los atacantes comprometen los equipos de las víctimas mediante un ataque a MySQL utilizando la fuerza bruta y, a continuación, intentan cifrar la base de datos. Una nota de rescate se deja dentro de una tabla llamada "WARNING" (Advertencia) y dice lo siguiente:

"Para recuperar la base de datos perdida y evitar filtraciones: Envíenos 0,06 bitcoins (BTC) a nuestra dirección de Bitcoin 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif y póngase en contacto con nosotros por correo electrónico (recvr19@protonmail.com) con su nombre de dominio o IP del servidor y un justificante de pago. Si no está seguro de si tenemos sus datos, póngase en contacto con nosotros y le enviaremos una prueba. Su base de datos se ha descargado en nuestros servidores y hemos creado una copia de seguridad. Si no recibimos el pago en los próximos 10 días, publicaremos su base de datos o la utilizaremos de otro modo".

En el momento de la redacción de este artículo, se han utilizado más de 30 direcciones de monederos Bitcoin en las notas de rescate, y su saldo es de 0,689 BTC, el equivalente a 6250 $ aproximadamente.

La botnet Smominru y sus diferentes variantes (Hexmen y Mykings) han estado activas desde 2017. El ataque compromete los equipos de Windows mediante una vulnerabilidad EternalBlue y la fuerza bruta en diversos servicios, incluidos MS-SQL, RDP, Telnet y más. En su fase posterior a la infección, roba las credenciales de la víctima, instala un módulo troyano y una campaña de criptominería, y se propaga dentro de la red.

UwUsh (o "Stokers") es una botnet similar a Mirai. La vulneración inicial se realiza a través de SSH, luego se descarga y ejecuta una secuencia de comandos bash denominada "UwUsh". La secuencia de comandos descarga varios archivos de malware empaquetado con UPX, llamado "Stokers", creado para distintas arquitecturas y los ejecuta todos, con la esperanza de que uno se infiltre correctamente. El malware tiene varias capacidades, de las cuales las más importantes son (cómo no) DDoS a través de UDP, HTTP y tipos de paquetes diferentes de TCP. El bot admite los dos comandos "KILLDROPPERS" y "KILLBINS" para eliminar a los competidores (o quizás versiones anteriores del malware). Los nombres de malware que se ven en las cadenas de Stokers son Ayedz, DEMONS, Execution, Fierce, Josho, Okami, Owari, Tsunami, apep, chiemi, fortnite, gemini, hoho, kowa, kratos, miori, mips.yakuza, mirai, miraint, shiro, sora, yakuza y z3hir. Cada uno de ellos tiene compilaciones para diversas arquitecturas, como las típicas para las botnets similares a Mirai. En el momento de la redacción de este artículo, todos los incidentes descargaron la secuencia de comandos UwUsh de un equipo con el prefijo 89.42.133.0/24.

Vollgar es una campaña de ataques de larga duración que tiene como objetivo infectar equipos de Windows que ejecutan servidores MS-SQL. La campaña, que se remonta a mayo de 2018, utiliza la fuerza bruta contra la contraseña para vulnerar los equipos de las víctimas, despliega varias puertas traseras y ejecuta numerosos módulos maliciosos, como herramientas de acceso remoto (RAT) multifuncionales y criptominería.

El 17 de agosto de 2017, múltiples CDN y proveedores de contenido fueron víctimas de unos ataques de envergadura lanzados por la botnet WireX. Ese nombre de la botnet es el anagrama de una de las cadenas delimitadoras de su protocolo de mando y control. La botnet WireX afecta, sobre todo, a dispositivos con Android que ejecutan aplicaciones maliciosas y está diseñada para generar tráfico de ataques distribuidos de denegación de servicio (DDoS). En algunas ocasiones, esta botnet tiene aparejado el envío de notas de extorsión a sus objetivos.

Para obtener más información, visite la publicación del blog aquí.

Yart7 es una campaña DDoS dirigida a servidores SSH. La botnet se propaga a través de servidores SSH vulnerados utilizando la fuerza bruta. Después de iniciar sesión correctamente, el atacante se conecta al servidor mando y control, y descarga una carga maliciosa llamada 7rtya, que se adapta a la arquitectura de los equipos de la víctima. Una vez que se ejecuta el malware, el equipo comprometido comienza a enviar paquetes DDoS a decenas de miles de direcciones IP a través del protocolo Telnet (puerto TCP 23). Desde el comienzo de esta campaña a principios de septiembre de 2020, solo se han detectado tres direcciones IP de origen, dos de las cuales se encuentran en Austria. Hemos nombrado a la campaña Yart7, que es un anagrama del nombre del archivo de malware.

Este conocido flujo de ataques se remonta a 2012. Básicamente, se trata de un dropper (descargador) de cargas maliciosas adicionales, que recibe su URL como un parámetro. La vulneración inicial se realiza a través de MySQL utilizando la fuerza bruta. Una vez dentro de la base de datos, el atacante crea una nueva tabla llamada yongger2 y escribe la carga maliciosa binaria del dropper en ella. La carga maliciosa se guarda en un archivo "cna12.dll" y se ejecuta. Una de las funciones exportadas de DLL, "xpdl3", se utiliza para descargar cargas maliciosas adicionales y crear un usuario de puerta trasera llamado piress. Esta técnica ya ha sido descrita detalladamente. Publicaciones recientes insinúan que el dropper se ha utilizado para descargar el ransomware GandCrab.

Para obtener materiales de lectura adicionales, visite los siguientes enlaces:

Malware Musings | Sophos