Новый DDoS-ботнет EnemyBot 'собирает' маршрутизаторы и IoT в свою темную армию

Enemybot проводит мобилизацию зараженных устройств за счет уязвимостей в модемах, маршрутизаторах и устройствах IoT / www.itkarakuli.ru

Новое вредоносное ПО на основе Mirai под названием Enemybot проводит мобилизацию зараженных устройств за счет уязвимостей в модемах, маршрутизаторах и устройствах IoT

Хакерская группировка Keksec - оператор ботнета - специализируется на крипто-майнинге и DDoS-атаках; обе функции поддерживаются вредоносными программами ботнета и могут внедрятся в устройства IoT и захватывать их вычислительные ресурсы.

Enemybot имеет обфускацию строк, в то время как его сервер C2 скрыт за узлами Tor, поэтому его отображение и удаление довольно сложно в настоящее время.

Аналитики угроз из Fortinet однако сумели найти в Сети образцы зловредной программы, которые проанализировали и после опубликовали подробный технический отчет об их функциях и возможностях.

Возможности вражеского бота

Когда устройство заражено, Enemybot начинает с подключения к C2 и ожидания выполнения команд. Большинство команд связаны с DDoS-атаками (распределенный отказ в обслуживании), но вредоносное ПО не ограничивается этим.

В частности, Fortinet представляет следующий набор поддерживаемых команд:

• ADNS – выполнение атаки усиления DNS
• ARK – выполнение атаки на серверы игры «ARK: Survival Evolved»
• BLACKNURSE – переполнение цели недостижимыми ICMP-сообщениями порта назначения
• DNS — переполнение DNS-серверов жестко закодированными DNS-UDP-запросами
• HOLD – переполнение цели TCP-соединениями и удержание их в течение определенного времени.
• HTTP — переполнение целевого объекта HTTP-запросами
• JUNK — переполнение цели случайными UDP-пакетами, не относящимися к нулю байтами
• OVH – переполнение серверов OVH пользовательскими пакетами UDP
• STD — переполнение цели пакетами UDP со случайными байтами
• TCP — переполнение цели пакетами TCP с поддельными исходными заголовками
• TLS — выполнение SSL/TLS атаки
• UDP — переполнение цели пакетами UDP с поддельными исходными заголовками
• OVERTCP – выполнение TCP-атак с рандомизированными интервалами доставки пакетов
• STOP – остановка продолжающейся DoS-атаки
• LDSERVER — обновление сервера загрузки для полезной нагрузки эксплойта
• СКАНЕР – распространение на другие устройства с помощью методов перебора SSH/Telnet и эксплойтов
• SH – "Выполнение скрипта"
• TCPOFF/TCPON — выключение или включение перехвата на портах 80, 21, 25, 666, 1337 и 8080, возможно, для сбора учетных данных

Сравнение кодов сканера Enemybot и Mirai (Fortinet)

Особый интерес представляют команды, нацеленные на игру ARK и серверы OVH, что может указывать на дальнейшее требования выкупа

Кроме того, команда LDSERVER позволяет злоумышленникам создавать новые URL-адреса для полезных данных, чтобы справиться с любыми проблемами на сервере загрузки. Это примечательно, потому что большинство ботнетов на основе Mirai имеют фиксированный, жестко закодированный URL-адрес загрузки.

Ботнет широкого спектра действия

Enemybot нацелен на несколько архитектур, от обычных x86, x64, i686, darwin, bsd, arm и arm64, до более редких и устаревших типов систем, таких как ppc, m68k и spc.

Это очень важно для возможностей распространения вредоносного ПО, так как оно может идентифицировать архитектуру опорной точки и извлекать соответствующий двоичный файл из C2.

Двоичные файлы, видимые на предоставленном сервере загрузки (Fortinet)

Что касается целевых уязвимостей, Fortinet видел некоторые различия в наборах между выборочными вариантами, но три из них присутствуют повсюду:

• CVE-2020-17456: Критический (CVSS 9.8) недостаток удаленного выполнения кода (RCE) в маршрутизаторах Seowon Intech SLC-130 и SLR-120S.
• CVE-2018-10823: Уязвимость RCE высокой степени серьезности (CVSS 8.8), затрагивающая несколько маршрутизаторов D-Link DWR.
• CVE-2022-27226: Произвольная инъекция cronjob с высокой степенью серьезности (CVSS 8.8) влияет на мобильные маршрутизаторы iRZ.

Изменение crontab на оконечном устройстве (Fortinet)

Другие уязвимости, которые могут присутствовать или не присутствовать в Enemybot в зависимости от варианта:

• CVE-2022-25075—25084: набор уязвимостей, предназначенных для маршрутизаторов TOTOLINK. Этот же набор также используется ботнетом Beastmode.
• CVE-2021-44228/2021-45046: Log4Shell и последующие критические уязвимости, нацеленные на Apache Log4j.
• CVE-2021-41773/CVE-2021-42013: предназначен для HTTP-серверов Apache
• CVE-2018-20062: цели ThinkPHP CMS
• CVE-2017-18368: предназначен для маршрутизаторов Zyxel P660HN
• CVE-2016-6277: предназначен для маршрутизаторов NETGEAR
• CVE-2015-2051: предназначен для маршрутизаторов D-Link
• CVE-2014-9118: предназначен для маршрутизаторов Zhone
• Эксплойт NETGEAR DGN1000 (не назначен CVE): предназначен для маршрутизаторов NETGEAR

Держитесь от ботнета подальше

Чтобы enemybot или любой другой ботнет не заражал ваши устройства и не вовлекал их к вредоносным DDoS-ботнетам, всегда применяйте последние доступные обновления программного обеспечения и прошивки для вашего устройства.

Если ваш маршрутизатор перестает отвечать, скорость интернета падает и сам аппарат нагревается больше, чем обычно, вы можете иметь дело с заражением вредоносным ПО ботнета.

В этом случае выполните аппаратный сброс на устройстве, войдите в панель управления, чтобы изменить пароль администратора, и, наконец, установите последние доступные обновления непосредственно с веб-сайта производителя устройства.