Los dispositivos integrados de Internet de las cosas (IoT) basado en Linux se han convertido en el objetivo de una nueva botnet doblada Vamos.
Escrito en GO, el botnet está diseñado para realizar ataques de fuerza bruta contra instancias SSH para expandirse en tamaño y escalera y entregar malware adicional a los hosts infectados.
“En oficio de escanear Internet, el malware recupera una cinta de objetivos de un servidor de comando y control (C2) e intenta bruta de las credenciales de SSH”, dijo Darktrace en un descomposición compartido con Hacker News. “Al obtener camino, recibe comandos remotos y establece persistencia utilizando archivos de servicio del sistema”.
El malware Botnet está diseñado para obtener el camino auténtico a través de credenciales SSH que forzan con éxito bruto en una cinta de direcciones IP cosechadas con puertos SSH abiertos. La cinta de direcciones IP a Target se recupera de un servidor extranjero (“ssh.ddos-cc (.) Org”).
Como parte de sus intentos de fuerza bruta, el malware incluso realiza varias comprobaciones para determinar si el sistema es adecuado y no es un honeypot. Encima, verifica la presencia de la prisión “Pumatronix”, un fabricante de sistemas de vigilancia y cámara de tráfico, lo que indica un intento de destacarlos específicamente o excluirlos.
El malware luego procede a compendiar y exfiltrado la información básica del sistema al servidor C2, posteriormente de lo cual establece la persistencia y ejecuta los comandos recibidos del servidor.
“El malware se escribe a /lib /redis, intentando disfrazarse como un archivo de sistema Redis oficial”, dijo Darktrace. “Luego crea un servicio de Systemd persistente en/etc/systemd/sistema, llamado Redis.Service o MySQI.Service (tenga en cuenta la ortografía de MySQL con un haber i) dependiendo de lo que se haya codificado en el malware”.
Al hacerlo, le permite al malware dar la impresión de que es bienhechor y incluso sobreviven a los reinicios. Dos de los comandos ejecutados por Botnet son “XMRIG” y “NetworkXM”, lo que indica que los dispositivos comprometidos se están utilizando para extraer la criptomoneda de modo ilícita.
Sin incautación, los comandos se lanzan sin especificar las rutas completas, un aspecto que indica que las cargas aperos probablemente se descargan o desempaquetan en otro oficio del host infectado. Darktrace dijo que su descomposición de la campaña descubrió otros binarios relacionados que se dice que se implementan como parte de una campaña más amplia,
- Ddaemon, una puerta trasera basada en GO que es recuperar el binario “NetworkXM” en “/usr/src/bao/networkxm” y ejecutar el script shell “installx.sh”
- NetworkXm, una útil SSH Brute-Force que funciona similar a la etapa auténtico de Botnet obteniendo una cinta de contraseñas de un servidor C2 e intenta conectarse a través de SSH en una cinta de direcciones IP de destino
- installx.sh, que se utiliza para recuperar otro script de shell “jc.sh” de “1.lusyn (.) xyz”, concórtelo ojear, escribir y ejecutar permisos para todos
- JC.SH, que está configurado para descargar un archivo bellaco “pam_unix.so” de un servidor extranjero y usarlo para reemplazar la contraparte legítima instalada en la máquina, así como recuperar y ejecutar otro binario llamado “1” del mismo servidor
- pam_unix.so, que actúa como un rootkit que roba credenciales al interceptar inicios de sesión exitosos y escribirlas en el archivo “/usr/bin/con.txt”
- 1, que se utiliza para monitorear el archivo “Con.txt” que se escribe o se mueve a “/usr/bin/” y luego exfiltran su contenido al mismo servidor
Legado que las capacidades de fuerza bruta SSH del malware Botnet le otorgan a las capacidades similares al helminto, los usuarios deben estar atentos a la actividad anómala de inicio de sesión de SSH, particularmente los intentos de inicio de sesión fallidos, los servicios de auditoría del sistema de auditoría regularmente, revisen los archivos autorizados de Keys para la presencia de las teclas SSH desconocidas, apliquen las reglas de firewall Strict a la exposición y filtren la exposición HTTP con los archivos de nota de los stinters, tales, tales, tales. Jieruidashabi.
“La botnet representa una amenaza SSH persistente basada en GO que aprovecha la automatización, el falsos bruto credenciales y las herramientas nativas de Linux para triunfar y ayudar el control sobre los sistemas comprometidos”, dijo Darktrace.
“Al imitar binarios legítimos (por ejemplo, Redis), explotar de Systemd para su persistencia e meter la dialéctica de huellas dactilares para evitar la detección en honeypots o entornos restringidos, demuestra una intención de esquivar las defensas”.
