Hackers invadem servidores da Amazon Web Services

Botnet baseada no Mirai instala criptominerador em servidor Linux

Da Redação
15/01/2024

Uma nova botnet vem se espalhando lentamente desde o ano passado, forçando logins SSH (Secure Socket Shell) e implantando malware de criptografia em servidores Linux. O principal código da botnet é baseado no worm Mirai, cujo código-fonte está disponível há anos, mas pesquisadores também rastrearam o mesmo grupo usando o worm P2PInfect, mais moderno, que explora instâncias do Redis, sistema de armazenamento de estrutura de dados em memória de código aberto.

Com base nos dados de telemetria dos honeypots da Akamai, o início da botnet remonta a janeiro de 2023, mas ela se expandiu desde então, atingindo o pico de tamanho no mês passado. A Akamai registrou mais de 800 endereços IP exclusivos em todo o mundo que mostraram sinais de infecções por NoaBot, sendo 10% deles baseados na China.

“O método de movimento lateral do malware é por meio de ataques de dicionário de credenciais SSH”, disseram os pesquisadores da Akamai em um novo relatório. “Restringir o acesso SSH arbitrário da Internet à sua rede diminui muito os riscos de infecção. Além disso, usar senhas fortes (não padrão ou geradas aleatoriamente) também torna sua rede mais segura, já que o malware usa uma lista básica de senhas que podem ser adivinhadas.”

O Mirai era originalmente uma botnet usada em ataques distribuídos de negação de serviços (DDoS) de autopropagação que apareceu em 2016 e foi projetada principalmente para infectar dispositivos de rede incorporados usando explorações de vulnerabilidades e ataques de dicionário Telnet. A botnet ganhou notoriedade por causar alguns dos maiores ataques DDoS observados na internet até ser abandonada e seu código-fonte vazar online.

O código do Mirai, que contém um módulo de varredura para propagação, um módulo de ataque e um código de persistência usado para ocultar os processos da botnet, serviu de inspiração para muitas outras botnets de autopropagação do Linux nos últimos anos, algumas focadas em DDoS, outras na criptomineração e algumas em ambos.

Os criadores do NoaBot pegaram o código-fonte do Mirai, mas fizeram modificações significativas. Primeiro, substituíram o scanner Telnet por um scanner SSH, já que servidores Linux são um bom alvo e têm muito mais probabilidade de ter SSH habilitado. Isso significa que os servidores comprometidos pelo NoaBot são mais fáceis de se alcançar do ponto de vista da segurança.

O scanner NoaBot SSH possui uma assinatura clara porque quando uma conexão SSH é aceita por um endereço IP, a botnet envia a mensagem “oi”. Este não é um comando SSH válido e não há razão prática para enviá-lo, portanto pode ser usado para criar uma assinatura de firewall.

Outras modificações feitas no NoaBot envolvem a mudança do compilador do GCC (GNU Compiler Collection) para o uClib para tornar seu código binário significativamente diferente do Mirai e, portanto, evitar assinaturas de detecção Mirai existentes e adicionar argumentos de linha de comando que permitem diferentes funcionalidades.

De acordo com os pesquisadores da Akamai, os criadores do NoaBot também fizeram modificações avançadas no código XMRig para ocultar e criptografar sua configuração, principalmente o endereço IP que serve como pool de mineração onde os invasores coletam a criptomoeda gerada.

Veja isso
Variante DDoS do Mirai explora roteadores D-Link, Zyxel e TP-Link
Variantes do Mirai transformam dispositivos IoT em botnets

O P2PInfect explora uma vulnerabilidade Lua para comprometer instâncias do Redis, um sistema de armazenamento na memória. No entanto, algumas variantes também incluem um scanner SSH. Não está claro por que esse grupo de invasores mudou do Mirai para o P2PInfect, que é uma criação ainda mais personalizada, ou se eles estão usando os dois em paralelo

A equipe da Akamai publicou uma lista de indicadores de comprometimento em seu repositório GitHub junto com assinaturas de detecção YARA que podem ser usadas para encontrar binários NoaBot. E sugerem aos administradores restringirem o acesso SSH apenas a conjuntos confiáveis de endereços IP e usar autenticação baseada em chave.

Para ter acesso ao relatório completo da Akamai, em inglês, clique aqui.

Compartilhar: