Enciclopédia de botnets

Esta campanha é identificada pelo script bash que ela deixa em servidores infectados, chamado de 8UsA.sh. Seus primeiros incidentes foram observados em 2018, porém a onda de ataques mais recente começou em junho de 2020. Servidores comprometidos conectam-se ao servidor de comando e controle e baixam uma amostra de malware DDoS, compilada para a arquitetura específica. A comunicação C2 é feita pela porta 5555 e o DDoS é feito por Telnet (porta TCP 23). Parece que o C2 principal é hospedado pela Frantech Solutions, que está fora de operação.

A campanha 911 (nove-um-um) está implantando uma variante conhecida do Mirai chamada Sora. Ativa desde o início de abril de 2020, a campanha visa dispositivos Internet das coisas por pelo menos quatro meses. Segundo relatórios recentes, a variante Sora explora as vulnerabilidades na execução remota de código e no desvio de autenticação nos roteadores GPON da Huawei e da Dasan, respectivamente. Outra caraterística dessa variante é a sua chave de criptografia XOR, o valor 0xDEDEFBAF. Cada cadeia de caracteres no processo de malware é descriptografada na memória usando essa chave e é imediatamente criptografada de volta para evitar a detecção baseada na memória. O nome dessa campanha de botnet é derivado dos binários de malware implantados ("911") com uma extensão que corresponde à arquitetura da vítima.

Para obter materiais de leitura adicionais, visite  CERT.PL (polonês) | TrendMicro

O B3astMode é um botnet DDoS baseado em Mirai direcionado a servidores SSH, roteadores Huawei HG532 e dispositivos Internet das coisas. Nessa campanha, o invasor tenta acessar servidores SSH usando força bruta. Em caso de sucesso, o invasor se conecta ao servidor C&C e faz o download de uma carga mal-intencionada chamada B3astMode, de acordo com a arquitetura da vítima.

Para expandir a rede de botnets do ataque, o malware tenta explorar duas vulnerabilidades de RCE (execução remota de código):

• CVE-2017-17215 no roteador da Huawei pela porta TCP 37215.
• Uma vulnerabilidade nos DVRs fabricados pela MVPower pela porta TCP 60001.

Ao violar esses dispositivos, o invasor aumenta o volume dos ataques de inundação TCP e UDP executados. No momento desta redação, cerca de 200 mil dispositivos poderiam ser vítimas desse ataque.

Para obter materiais complementares de leitura, acesse os links abaixo:

CERT.PL (Polonês) | TrendMicro

O BashLegend é uma campanha de ataque operada por um hacker chamado UzzySenpai. Seus primeiros incidentes de ataque foram registrados pelos sensores Guardicore em maio de 2020, no entanto, a onda de ataques atual começou no final de agosto.

Nessa campanha, o hacker ataca com força bruta os servidores SSH públicos. Após uma conexão bem-sucedida, o invasor baixa um arquivo executável chamado .0803 do seu servidor de comando e controle. Esse arquivo é uma versão ofuscada de uma ferramenta de código aberto chamada RootHelper, que "auxilia no processo de escalonamento de privilégios em um sistema Linux comprometido", segundo a sua descrição no GitHub.

Depois disso, um minerador de Monero XMRig é baixado junto com uma configuração JSON. Desde o seu surgimento, observamos que apenas uma carteira está sendo usada: 89QZqpUHJBUJTYWKXxcHMrWrsJNVhKLUh2EmYd9KbBkmNhY6MNcJc8BJJ89QE621aLWuffSWHe2y7cA9up7t2kohJH42rWY. 

O criptominerador da BashLegend nomeia seus trabalhadores com o número de núcleos da CPU na máquina comprometida, por exemplo: 1-Squad, 4-Squad etc., que nos dá uma visão da natureza das vítimas. Alguns trabalhadores ativos são nomeados 60-Squad, o que indica que pelo menos uma vítima com 60 núcleos de CPU foi afetada pelo ataque. As cadeias observadas nos arquivos do ataque, além do fato de os primeiros incidentes de ataque terem sido originados na Romênia, sugerem fortemente que o operador da BashLegend é de origem romena.

O Bins é uma família de campanhas de ataque DDoS. O malware que eles espalham é uma variante do Mirai com várias funções, como inundações UDP e TCP, falsificação de IP etc. Algumas amostras de malware se disfarçam como o processo daemon SSH ou o servidor SSH leve "DropBear". Os diferentes nomes do arquivo de malware informam exatamente quais arquiteturas são direcionadas: mips, mipsel, sh4, x86, armv6l, i686, powerpc, i586, m68k, sparc, armv4l e armv5l.

Para obter materiais complementares de leitura, acesse o link abaixo: 

Stratosphere IPS

Um ataque de ransomware começa com uma violação inicial, muitas vezes possibilitada pela engenharia social, um e-mail de phishing, anexo de e-mail mal-intencionado ou vulnerabilidades no perímetro da rede. O malware começará a se mover pela sua rede e tentará maximizar os danos a partir do ponto de chegada. Normalmente, os agentes mal-intencionados buscam assumir o controle de um controlador de domínio, comprometer credenciais e localizar e criptografar quaisquer backups de dados para impedir que os operadores restem serviços infectados e congelados.

Visto no GGSN desde o final de 2019, a campanha de criptomineração FaNeL parece ser operada por um hacker individual baseado na Romênia. O FaNeL compromete máquinas ao violar o serviço SSH delas, baixa vários scripts para analisar os recursos disponíveis (CPU, memória e espaço em disco) e executa um criptominerador XMRig. As ferramentas de ataque do FaNeL são disponibilizadas a outros grupos de ataque e hackers amadores: prefixos ASN, listas de senhas e scripts de teste de velocidade, entre outros. Alguns dos ataques registrados pelo Guardicore são identificados como "humanos", o que implica que o hacker ainda está testando e avaliando o fluxo de ataque e a sua eficiência.

O FritzFrog é um botnet P2P único e sofisticado que está ativo desde janeiro de 2020. Os invasores violam servidores SSH usando força bruta e implantam um malware complexo de worm escrito em Golang. Um backdoor na forma de uma chave pública SSH é adicionado ao arquivo authorized_keys da vítima. O malware começa imediatamente a escutar na porta 1234, onde receberá comandos de seus pares de rede. O malware FritzFrog trabalha arduamente para eliminar os concorrentes, eliminando processos que exigem CPU no sistema Linux.

Para ler mais, acesse a postagem no blog aqui.

O GhOul é uma campanha DDoS observada nos sensores da Guardicore desde junho. No entanto, foi observado ainda mais cedo, por volta de fevereiro. O GhOul se espalha pelo SSH para infectar máquinas baseadas em Linux com malware DDoS. O malware é baseado em Mirai, compilado para várias arquiteturas e é semelhante às variantes Helios e Hakai (veja os links abaixo). Sua lista de comandos C2 inclui: "TCP, SYN, ACK, XMAS, STOMP, UDPREG, UDPHEX, UDPRAW, HTTPSTOPM, HTTP, VSE, STD, OVH, STOP, KILL", todos parecem ser DDoS em vários protocolos usando diferentes formatos de carga útil. A maioria dos ataques capturados pelos sensores da Guardicore se originou de máquinas pertencentes à OVH na França. Os servidores de comando e controle (oito foram observados durante o período ativo da campanha) são máquinas baseadas na Alemanha, França e Irã. A comunicação C2 é realizada pela porta 3333, conforme necessário para receber a lista de alvos de DDoS.

Para obter materiais complementares de leitura, acesse os links abaixo:

Helios (Security Art Work) | Variante Hakai (Stratosphere IPS)

A campanha de ataque k8h3d combina um criptominerador Monero e um módulo de worm que explora o EternalBlue para ganhar movimento lateral. Inicialmente, o invasor viola as máquinas das vítimas via MS-SQL. Em seguida, o invasor cria um novo usuário chamado "k8h3d" com a senha "k8d3j9SjfS7" e altera a senha de administrador do sistema MS-SQL para uma cadeia de caracteres aleatória. Depois que o usuário backdoor é criado, o invasor o utiliza para se conectar à máquina por SMB e deixar vários arquivos binários e cadeias mal-intencionadas. Isso inclui um dropper, cavalo de Troia, criptominerador Monero e um worm EternalBlue, entre outros. As cargas mal-intencionadas permanecem persistentes com a instalação de tarefas e serviços programados (os nomes incluem "Autocheck", "Autoscan", "Bluetooths", "DnsScan", "WebServers" e "Ddriver"). Além disso, as informações do sistema são enviadas aos servidores de comando e controle do invasor, a partir dos quais cargas adicionais podem ser baixadas e executadas.

Para obter materiais complementares de leitura, acesse o link abaixo:

BitDefender

Uma análise de um binário ARM capturado recentemente revelou a adaptação do CVE-2021-44228 para infectar e ajudar na proliferação do malware usado pelo botnet Mirai. Conforme mencionado em blogs anteriores da Akamai, o CVE-2021-44228 é uma vulnerabilidade de execução remota de código (RCE) não autenticada em Log4j.

Essa vulnerabilidade afeta várias versões do Log4j e os aplicativos que dependem dele. Isso inclui Apache Struts2, Apache Solr, Apache Druid, Apache Flink e muitos outros. Como mencionado anteriormente, a correção dessa vulnerabilidade é fortemente recomendada, e a Akamai implantou conjuntos de regras para os clientes que ajudarão a atenuar os ataques.

Para ler mais, acesse a postagem no blog aqui.

É uma campanha de botnet de mineração de Monero bastante genérica, que infecta máquinas vítimas por SSH. Assim que um servidor for comprometido, um script Bash simples fará o download a carga útil do criptominerador, um arquivo compactado gzip. A extração deste arquivo resulta em uma nova pasta, .ssh, com dois arquivos: o minerador executável (chamado sshd) e uma configuração JSON. Durante a sua existência de seis meses (até o momento), essa campanha gerou cerca de US$ 1.200 para os seus operadores, conforme observado no pool de mineração HashVault. 

Os operadores parecem ter usado uma única carteira para agregar suas moedas Monero: 454Bkqa8C2GXCA3mFaPu1P6z3zwTqZjaRc1bB1gWVjkmBLJDcVbbE3VH6e3eKY78ihZYhFH63poLQ5Uvs65ukhV291DqCmk. Os ataques à Guardicore Global Sensors Network foram originados de seis IPs diferentes, localizados nos EUA e na Alemanha. O número de incidentes de ataque passou de aproximadamente 20 por mês para mais de 100 incidentes em abril.

O Nansh0u é uma campanha baseada na China que visa infectar servidores Windows MS-SQL e phpMyAdmin em todo o mundo. As máquinas violadas incluíram mais de 50.000 servidores pertencentes a empresas nos setores de saúde, telecomunicações, mídia e TI. Uma vez comprometidos, os servidores visados foram infectados com cargas mal-intencionadas. Eles, por sua vez, deixaram o criptominerador e instalaram um sofisticado rootkit do modo kernel para evitar que o malware seja encerrado.

Essa campanha, ao contrário de muitas outras, não é um botnet de criptomineração. Aqui, os invasores comprometem as máquinas vítimas usando a força bruta do MySQL e tentam criptografar o banco de dados. Uma nota de resgate é deixada em uma tabela chamada "AVISO", que diz:

"Para recuperar o seu banco de dados perdido e evitar seu vazamento: envie-nos 0,06 Bitcoin (BTC) para o nosso endereço de Bitcoin 1NdeFcTXpXvUxvWqPP988A4Txcv3LzXmif e entre em contato conosco por e-mail (recvr19@protonmail.com) enviando o seu IP de servidor ou nome de domínio e um comprovante de pagamento. Se tiver dúvidas se temos os seus dados, entre em contato conosco e enviaremos uma prova. O seu banco de dados está baixado e possui cópia de segurança em nossos servidores. Se não recebermos o seu pagamento nos próximos 10 dias, tornaremos a sua base de dados pública ou a utilizaremos de outra forma."

No momento desta redação, mais de 30 endereços de carteira de Bitcoin foram utilizados nas notas de resgate, e o saldo é de 0,689 BTC, que vale aproximadamente US$ 6.250.

O botnet Smominru e suas diferentes variantes (Hexmen e Mykings) estão ativos desde 2017. O ataque compromete máquinas Windows usando uma exploração de EternalBlue e força bruta em vários serviços, incluindo MS-SQL, RDP, Telnet, entre outros. Em sua fase de pós-infecção, ele rouba credenciais das vítimas, instala um módulo cavalo de Troia e um criptominerador e se propaga dentro da rede.

O Uwush (ou "Stokers") é um botnet como o Mirai. A violação inicial é feita via SSH, então um script bash chamado "UwUsh" é baixado e executado. O script faz o download de um malware chamado "Stokers", empacotado com o UPX, que foi desenvolvido para arquiteturas diferentes e executa todas elas na esperança de que uma seja bem-sucedida. O malware tem vários recursos, sendo o mais proeminente deles (como não seria) o DDoS por UDP, HTTP e os diferentes tipos de pacotes do TCP. O bot suporta os dois comandos "KILLDROPPERS" e "KILLBINS" para eliminar concorrentes (ou talvez versões mais antigas do malware). Os nomes de malware observados nas cadeiras dos Stokers são Ayedz, DEMONS, Execution, Fierce, Josho, Okami, Owari, Tsunami, apep, chiemi, fortnite, gemini, hoho, kowa, kratos, miori, mips.yakuza, mirai, miraint, shiro, sora, yakuza e z3hir. Cada um na lista tem compilações para várias arquiteturas, como é comum para botnets do tipo Mirai. No momento desta redação, todos os incidentes baixaram o script Uwush de uma máquina com o prefixo 89.42.133.0/24.

O Vollgar é uma campanha de ataque de longa duração que visa infectar máquinas Windows que executam servidores MS-SQL. A campanha, que data de maio de 2018, usa força bruta de senhas para violar máquinas vítimas, implanta vários backdoors e executa diversos módulos mal-intencionados, como RATs (ferramentas de acesso remoto) multifuncionais e criptomineradores.

Em 17 de agosto de 2017, várias CDN (Rede de Entrega de Conteúdo) e provedores de conteúdo estavam sujeitos a ataques significativos de um botnet chamado WireX. O nome do botnet vem de um anagrama de uma das cadeias delimitadoras em seu protocolo de comando e controle. O botnet WireX é composto principalmente por dispositivos Android que executam aplicações mal-intencionadas e foi projetado para criar tráfego distribuído de negação de serviço (DDoS). Algumas vezes, o botnet está associado a notas de resgate para os alvos.

Para ler mais, acesse a publicação do blog aqui.

O Yart7 é uma campanha DDoS que visa servidores SSH. O botnet se espalha por servidores SSH através de força bruta. Após um login bem-sucedido, o invasor se conecta ao servidor C&C e faz o download de uma carga mal-intencionada chamada 7rtya que seja adequada à arquitetura das máquinas vítimas. Assim que o malware é executado, a máquina comprometida começa a enviar pacotes DDoS para dezenas de milhares de endereços IP pelo protocolo Telnet (porta TCP 23). Desde o início desta campanha no início de setembro de 2020, apenas três IPs de origem foram vistos, dois dos quais são localizados na Áustria. Demos o nome de Yart7 à campanha, que é um anagrama do nome de arquivo do malware.

Esse fluxo de ataques já é conhecido há muito tempo, desde 2012. Essencialmente, esse botnet é um dropper (instalador) de cargas adicionais, que recebe o seu URL como um parâmetro. A violação inicial é feita pelo MySQL com o uso de força bruta. Uma vez dentro do banco de dados, o invasor cria uma nova tabela chamada yongger2 e grava a carga binária do dropper nela. A carga é então gravada em um arquivo "cna12.dll" e executada. Uma das funções exportadas da DLL ("xpdl3") é usada para eliminar cargas adicionais e criar um usuário de backdoor chamado piress. Esta técnica já foi amplamente descrita. Publicações recentes sugerem que o dropper foi usado para entregar o ransomware GandCrab.

Para obter materiais complementares de leitura, acesse os links abaixo:

Malware Musings | Sophos