🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova variante do botnet Gafgyt chamada C0XMO tem como alvo o firmware do roteador DD-WRT e pode migrar para outros tipos de dispositivos com várias arquiteturas de CPU.
Os pesquisadores encontraram amostras para ARM, MIPS, PowerPC, SuperH, x86, x86_64 e outras arquiteturas, apresentando explorações para DVRs, roteadores, plataformas de gerenciamento de vÃdeo e dispositivos baseados em Android.
A botnet foi vista como alvo de uma empresa de tecnologia japonesa, mas os pesquisadores descobriram que o endereço IP de origem era de um dispositivo localizado na Alemanha.
Os pesquisadores da Fortinet descobriram o C0XMO e destacaram seu design modular, que permite aos operadores atualizar suas técnicas de exploração, adicionar/remover arquiteturas direcionadas e expandir suas capacidades de movimento lateral independentemente da carga útil principal.
Fundamentalmente, o C0XMO continua sendo um malware para lançar ataques distribuÃdos de negação de serviço (DDoS) e suporta 19 métodos, incluindo inundações UDP/TCP/SYN/ICMP, “ping da morte”, amplificação NTP/Memcached, inundações UDP de voz Discord e inundações especÃficas da Valve.
De acordo com os pesquisadores, o malware botnet C0XMO é entregue através da exploração de CVE-2021-27137, uma vulnerabilidade de buffer overflow causada por entrada insuficiente do usuário. Pode ser aproveitado sem autenticação e leva à execução de código arbitrário.
Scanner Gafgyt
Para uma distribuição mais ampla, o C0XMO baixa um script Python que instala pacotes adicionais, como ‘requests’, ‘paramiko’ e ‘beautifulsoup4’, que são necessários para varredura e comunicação de rede e para executar atividades em protocolos SSH e telnet.
O scanner então usa threads de trabalho para verificar aleatoriamente sistemas voltados para a Internet em portas comuns como 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 e outras.
Depois de encontrar um alvo, o malware tenta aplicar força bruta a credenciais fracas de Telnet e SSH, detecta a arquitetura da CPU e implanta um binário C0XMO compatÃvel.
O script contém quase duas dúzias de funções para várias tarefas de varredura, exploração de vulnerabilidades baseadas em HTTP e ADB, detecção da arquitetura da CPU, login SSH/telenet e verificação de endereços IP. Seu principal objetivo é mover-se lateralmente na rede.
Depois de obter acesso a um dispositivo, o malware se copia para locais ocultos, como ‘/tmp/.sys,’ ‘/var/tmp/.sys’ e ‘/dev/shm/.sys’, e então cria tarefas cron que o reiniciam a cada 15 minutos. Além disso, os arquivos de inicialização do shell são modificados para permitir a execução automática.
Além disso, o C0XMO verifica ativamente os processos em execução para identificar clientes de botnets concorrentes no host, bem como ferramentas de equipe vermelha, ferramentas de programação e serviços de rede que possam interferir em sua operação, e os encerra.
Isso é feito excluindo binários e removendo seus mecanismos de persistência, incluindo tarefas cron, scripts de inicialização, serviços de sistema e entradas de perfil de shell.
Lista de processos que o malware verificaFonte: Fortinet
Depois disso, ele se conecta a um endereço de comando e controle (C2) codificado usando um handshake personalizado de vários estágios que inclui strings mágicas e segredos compartilhados e, em seguida, aguarda comandos.
Os comandos suportados incluem verificações de pulsação, inÃcio e interrupção de verificações e lançamento de ataques DDoS usando um dos 19 métodos suportados.
A recomendação geral para defesa contra C0XMO e outros malwares de botnet é manter os dispositivos atualizados, usar credenciais de administrador exclusivas e desativar recursos de acesso remoto quando não forem necessários.
A Fortinet descreve o C0XMO como tendo “uma arquitetura e um conjunto de recursos consideravelmente mais avançados em comparação com botnets IoT anteriores”.
Os pesquisadores observam que o design geral do malware indica “um maior grau de sofisticação e complexidade operacional do que o malware Gafgyt tÃpico”.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
Os pesquisadores encontraram amostras para ARM, MIPS, PowerPC, SuperH, x86, x86_64 e outras arquiteturas, apresentando explorações para DVRs, roteadores, plataformas de gerenciamento de vÃdeo e dispositivos baseados em Android.
A botnet foi vista como alvo de uma empresa de tecnologia japonesa, mas os pesquisadores descobriram que o endereço IP de origem era de um dispositivo localizado na Alemanha.
Os pesquisadores da Fortinet descobriram o C0XMO e destacaram seu design modular, que permite aos operadores atualizar suas técnicas de exploração, adicionar/remover arquiteturas direcionadas e expandir suas capacidades de movimento lateral independentemente da carga útil principal.
Fundamentalmente, o C0XMO continua sendo um malware para lançar ataques distribuÃdos de negação de serviço (DDoS) e suporta 19 métodos, incluindo inundações UDP/TCP/SYN/ICMP, “ping da morte”, amplificação NTP/Memcached, inundações UDP de voz Discord e inundações especÃficas da Valve.
De acordo com os pesquisadores, o malware botnet C0XMO é entregue através da exploração de CVE-2021-27137, uma vulnerabilidade de buffer overflow causada por entrada insuficiente do usuário. Pode ser aproveitado sem autenticação e leva à execução de código arbitrário.
Scanner Gafgyt
Para uma distribuição mais ampla, o C0XMO baixa um script Python que instala pacotes adicionais, como ‘requests’, ‘paramiko’ e ‘beautifulsoup4’, que são necessários para varredura e comunicação de rede e para executar atividades em protocolos SSH e telnet.
O scanner então usa threads de trabalho para verificar aleatoriamente sistemas voltados para a Internet em portas comuns como 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 e outras.
Depois de encontrar um alvo, o malware tenta aplicar força bruta a credenciais fracas de Telnet e SSH, detecta a arquitetura da CPU e implanta um binário C0XMO compatÃvel.
O script contém quase duas dúzias de funções para várias tarefas de varredura, exploração de vulnerabilidades baseadas em HTTP e ADB, detecção da arquitetura da CPU, login SSH/telenet e verificação de endereços IP. Seu principal objetivo é mover-se lateralmente na rede.
Depois de obter acesso a um dispositivo, o malware se copia para locais ocultos, como ‘/tmp/.sys,’ ‘/var/tmp/.sys’ e ‘/dev/shm/.sys’, e então cria tarefas cron que o reiniciam a cada 15 minutos. Além disso, os arquivos de inicialização do shell são modificados para permitir a execução automática.
Além disso, o C0XMO verifica ativamente os processos em execução para identificar clientes de botnets concorrentes no host, bem como ferramentas de equipe vermelha, ferramentas de programação e serviços de rede que possam interferir em sua operação, e os encerra.
Isso é feito excluindo binários e removendo seus mecanismos de persistência, incluindo tarefas cron, scripts de inicialização, serviços de sistema e entradas de perfil de shell.
Lista de processos que o malware verificaFonte: Fortinet
Depois disso, ele se conecta a um endereço de comando e controle (C2) codificado usando um handshake personalizado de vários estágios que inclui strings mágicas e segredos compartilhados e, em seguida, aguarda comandos.
Os comandos suportados incluem verificações de pulsação, inÃcio e interrupção de verificações e lançamento de ataques DDoS usando um dos 19 métodos suportados.
A recomendação geral para defesa contra C0XMO e outros malwares de botnet é manter os dispositivos atualizados, usar credenciais de administrador exclusivas e desativar recursos de acesso remoto quando não forem necessários.
A Fortinet descreve o C0XMO como tendo “uma arquitetura e um conjunto de recursos consideravelmente mais avançados em comparação com botnets IoT anteriores”.
Os pesquisadores observam que o design geral do malware indica “um maior grau de sofisticação e complexidade operacional do que o malware Gafgyt tÃpico”.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #botnet #c0xmo #se #espalha #por #meio #de #falha #no #roteador #ddwrt #e #mata #malware #rival
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário