Uma nova variante do botnet Gafgyt chamada C0XMO tem como alvo o firmware do roteador DD-WRT e pode migrar para outros tipos de dispositivos com várias arquiteturas de CPU.
Os pesquisadores encontraram amostras para ARM, MIPS, PowerPC, SuperH, x86, x86_64 e outras arquiteturas, apresentando explorações para DVRs, roteadores, plataformas de gerenciamento de vídeo e dispositivos baseados em Android.
A botnet foi vista como alvo de uma empresa de tecnologia japonesa, mas os pesquisadores descobriram que o endereço IP de origem era de um dispositivo localizado na Alemanha.
Os pesquisadores da Fortinet descobriram o C0XMO e destacaram seu design modular, que permite aos operadores atualizar suas técnicas de exploração, adicionar/remover arquiteturas direcionadas e expandir suas capacidades de movimento lateral independentemente da carga útil principal.
Fundamentalmente, o C0XMO continua sendo um malware para lançar ataques distribuídos de negação de serviço (DDoS) e suporta 19 métodos, incluindo inundações UDP/TCP/SYN/ICMP, “ping da morte”, amplificação NTP/Memcached, inundações UDP de voz Discord e inundações específicas da Valve.
De acordo com os pesquisadores, o malware botnet C0XMO é entregue através da exploração de CVE-2021-27137, uma vulnerabilidade de buffer overflow causada por entrada insuficiente do usuário. Pode ser aproveitado sem autenticação e leva à execução de código arbitrário.
Scanner Gafgyt
Para uma distribuição mais ampla, o C0XMO baixa um script Python que instala pacotes adicionais, como ‘requests’, ‘paramiko’ e ‘beautifulsoup4’, que são necessários para varredura e comunicação de rede e para executar atividades em protocolos SSH e telnet.
O scanner então usa threads de trabalho para verificar aleatoriamente sistemas voltados para a Internet em portas comuns como 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 e outras.
Depois de encontrar um alvo, o malware tenta aplicar força bruta a credenciais fracas de Telnet e SSH, detecta a arquitetura da CPU e implanta um binário C0XMO compatível.
O script contém quase duas dúzias de funções para várias tarefas de varredura, exploração de vulnerabilidades baseadas em HTTP e ADB, detecção da arquitetura da CPU, login SSH/telenet e verificação de endereços IP. Seu principal objetivo é mover-se lateralmente na rede.
Depois de obter acesso a um dispositivo, o malware se copia para locais ocultos, como ‘/tmp/.sys,’ ‘/var/tmp/.sys’ e ‘/dev/shm/.sys’, e então cria tarefas cron que o reiniciam a cada 15 minutos. Além disso, os arquivos de inicialização do shell são modificados para permitir a execução automática.
Além disso, o C0XMO verifica ativamente os processos em execução para identificar clientes de botnets concorrentes no host, bem como ferramentas de equipe vermelha, ferramentas de programação e serviços de rede que possam interferir em sua operação, e os encerra.
Isso é feito excluindo binários e removendo seus mecanismos de persistência, incluindo tarefas cron, scripts de inicialização, serviços de sistema e entradas de perfil de shell.
Depois disso, ele se conecta a um endereço de comando e controle (C2) codificado usando um handshake personalizado de vários estágios que inclui strings mágicas e segredos compartilhados e, em seguida, aguarda comandos.
Os comandos suportados incluem verificações de pulsação, início e interrupção de verificações e lançamento de ataques DDoS usando um dos 19 métodos suportados.
A recomendação geral para defesa contra C0XMO e outros malwares de botnet é manter os dispositivos atualizados, usar credenciais de administrador exclusivas e desativar recursos de acesso remoto quando não forem necessários.
A Fortinet descreve o C0XMO como tendo “uma arquitetura e um conjunto de recursos consideravelmente mais avançados em comparação com botnets IoT anteriores”.
Os pesquisadores observam que o design geral do malware indica “um maior grau de sofisticação e complexidade operacional do que o malware Gafgyt típico”.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O resto se move pelo seu ambiente sem ser visto.
O whitepaper da Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Artigos relacionados:
Governo holandês interrompe botnet de malware com 17 milhões de dispositivos infectados
EUA e Canadá prendem e acusam suposto administrador do botnet Kimwolf
O Google acidentalmente expôs detalhes de uma falha não corrigida do Chromium
Hackers russos transformam backdoor Kazuar em botnet P2P modular
Nova campanha Mirai explora falha RCE em roteadores EoL D-Link