Análisis de malware

La peligrosa botnet IoT EnemyBot ahora ataca a otros objetivos

24 de agosto de por Pedro Tavares

EnemyBot es una peligrosa botnet de IoT que ha sido noticia en las últimas semanas. Esta amenaza, que parece estar difundida por el grupo Keksec, amplió sus características añadiendo vulnerabilidades recientes descubiertas en. Fue diseñada para atacar servidores web, dispositivos Android y servidores de sistemas de gestión de contenidos (CMS).

Debido a que el código fuente del malware está disponible en GitHub (1 a continuación), los delincuentes pueden reutilizar el código base para implementar sus propias versiones, mejorándolo con nuevas capacidades y haciéndolo más sigiloso.

1: El código fuente de EnemyBot está disponible en GitHub.

EnemyBot es un malware creado combinando y modificando el código fuente de Miray y Gafgyt. Al analizar las funciones de “ escaneo ” de ambas amenazas, se puede ver que las similitudes en el código son obvias.

2: Similitudes de código entre Mirai y Enemybot ( fuente )

Capa de ofuscación y amenaza de arquitectura múltiple

Al igual que Mirai, EnemyBot puede infectar varias arquitecturas, dirigidas a arquitecturas de escritorio y servidores, incluidas BSD, macOS y x64.

Aquí está la lista de arquitecturas a las que apunta EnemyBot:

brazo

brazo5

brazo64

brazo7

bsd

darvin

i586

i686

m68k

mips

mpsl

ppp

ppc-440fp

sh4

spc

x64

x86

Según el análisis de Fortinet , esta botnet puede ofuscar las cadenas de varias maneras, a saber:

• el C2 usa codificación XOR con una clave multibyte
• el mecanismo de fuerza bruta SSH utiliza la codificación de estilo Mirai (codificación XOR de un solo byte con 0x22)
• Los comandos de la botnet se cifran con un cifrado de sustitución.

Aunque estos métodos de ofuscación son simples, son suficientes para mantener la amenaza oculta a los ojos de los sistemas de detección y análisis de seguridad.

EnemyBot usó CVE

Sus operadores actualizan continuamente EnemyBot y con frecuencia se agregan nuevas vulnerabilidades. Algunas de las vulnerabilidades exploradas por esta botnet se encuentran en esta sección, incluidas las fallas descubiertas durante la primera mitad de.

• CVE–44228 / -45046 : Log4j es un marco de registro basado en Java. Varias versiones, incluida Apache Log4j2 1.14.1 y anteriores, están expuestas a este CVE, y un adversario puede aprovechar esta vulnerabilidad para tomar el control total de una máquina.

3: Parte de la carga útil de Log4j del código fuente de Enemybotnet

• CVE–17456 : Una falla de ejecución remota de código en los dispositivos Seowon Intech SLC-130 y SLR-1
• CVE–10823 : Esta es una vulnerabilidad de ejecución de código arbitrario en enrutadores D-Link.
• CVE–27226 : Esta vulnerabilidad es una falla de falsificación de solicitudes entre sitios presentada en los enrutadores móviles iRZ, que conduce a la ejecución remota de código.
• CVE–25075 a 25084 : estos CVE están asociados con enrutadores TOTOLINK.
• CVE–41773 / CVE–4 : CVE dirigidos a servidores HTTP Apache.
• CVE–2 : este es un CVE que explora ThinkPHP CMS.
• CVE–18368 : Una falla bien conocida que aprovecha los enrutadores Zyxel P660HN.
• CVE–6277 : un CVE popular dirigido a enrutadores NETGEAR.
• CVE– : Otro fallo frecuente que ataca a los enrutadores D-Link.
• CVE–9118 : Un CVE antiguo dirigido a enrutadores Zhone en particular.
• Explotación NETGEAR DGN1000 (sin CVE): varias vulnerabilidades asociadas con enrutadores NETGEAR.
• CVE–1388 : Las solicitudes especialmente diseñadas pueden omitir la autenticación REST de iControl en F5 Big5 IP.
• CVE–22947 : Vulnerabilidad de inyección de código de Spring Cloud Gateway.
• CVE–22954 : VMWare Workspace One RCE.

Otras vulnerabilidades incluidas en la última versión de EnemyBot se pueden ver a continuación. Tenga en cuenta que estas vulnerabilidades no tienen CVE asignado y se descubrieron en.

• Adobe ColdFusion 11 RCE
• PHP ScriptCase 9.7 RCE:
• Inyección del comando Razar Sila:
• Complemento PDF de sincronización de vídeo de WordPress LFI
• Dbltek GoIP LFI
• Complemento de calculadora de tarifas de taxi de WordPress LFI
• Archeevo 5.0 LFI

Comandos de botnet y DoS

Después de comprometer un nuevo objetivo, el bot se conecta con el servidor C2 y puede realizar tareas específicas de acuerdo con los comandos disponibles. El servidor C2 está alojado en la red TOR y los nodos de la botnet acceden al servidor mediante una lista codificada de direcciones IP proxy de calcetines.

Los comandos disponibles son:

4: Lista de comandos disponibles del Enemybot

Cómo proteger los dispositivos IoT contra los ciberataques

Las amenazas cibernéticas han surgido tanto en volumen como en sofisticación, y los delincuentes aprovechan repetidamente una simple debilidad para tomar el control del sistema objetivo. En este sentido, el panorama de IoT es la puerta perfecta desde el punto de vista de los adversarios porque estos dispositivos tienen poca seguridad y monitorización.

Aunque el horizonte de seguridad de IoT puede considerarse amplio desde varias perspectivas, algunas prácticas de seguridad simples pueden ayudar a mantener seguros los dispositivos de IoT. Algunos de los pasos a considerar son:

• Cambie las contraseñas predeterminadas y ajuste la configuración del dispositivo.
• Utilice la autenticación multifactor (MFA) u otro mecanismo de autenticación cuando sea posible y aplicable.
• Mantenga el software y el firmware actualizados (este paso puede evitar muchos fallos nuevos explorados por botnets como Enemybot y Mirai).
• Asegúrese de que el dispositivo esté disponible en un segmento de red de agujero negro, es decir, aislado de activos críticos.

Y, lo más importante, implementar el monitoreo en la capa de red y en el host cuando sea posible. Vigilar el comportamiento de los dispositivos es una medida eficaz para detectar y bloquear con antelación posibles intrusiones.

Fuentes:

• Enemybot explota la web , TheHackerNews
• Malware Enemybot IoT , CyberSecurity Att
• Nueva botnet Enemybot DDoS , TheHackerNews
• Análisis de Enemybot , Fortinet
• Protección de dispositivos IoT , revolucionada