botnet-iot-telnet.jpg

Nova botnet usa dispositivos de IoT para ataques DDoS

Da Redação
09/04/2020

Rede de malware está ativamente direcionada a dispositivos de internet das coisas usando uma dúzia de arquiteturas de CPUs e as utiliza para iniciar vários tipos de ataques distribuídos de negação de serviço

botnet-iot-telnet.jpg

Uma nova botnet  (rede de computadores com softwares maliciosos) está ativamente direcionada a dispositivos de internet das coisas (IoT) usando cargas úteis compiladas para uma dúzia de arquiteturas de CPUs e as utiliza para iniciar vários tipos de ataques distribuídos de negação de serviço (ataque DDoS – Distributed Denial of Service) e espalhar vários tipos de malware.

Batizada de Dark Nexus pelos pesquisadores da Bitdefender, que descobriram que ela passou por um processo de desenvolvimento muito rápido desde que foi identificada inicialmente. Cerca de 40 versões diferentes — da versão 4.0 a 8.6 —, incluindo novos recursos e melhorias, foram lançadas entre dezembro de 2019 e março de 2020, de acordo com o relatório da empresa de segurança cibernética.

O malware provavelmente é criado por greek.Helios, um conhecido desenvolvedor de botnet que anuncia e vende serviços DDoS e código de botnet desde pelo menos 2017.

Veja isto
Botnet é direcionada a servicores Linex executando o Webmin
Microsoft derruba botnet Necurs após oito anos de combate

Enquanto o malware reutiliza partes do código-fonte Qbot e Mirai, o desenvolvedor do Dark Nexus criou seus próprios módulos principais, incluindo recursos que permitem entregar cargas úteis personalizadas para 12 arquiteturas de CPU diferentes.

“Em termos de dispositivos que parecem comprometidos pelo Dark_Nexus, a lista é bastante extensa, variando de vários modelos de roteadores, como Dasan Zhone, Dlink e Asus, a gravadores de vídeo e câmeras térmicas”, explicam os pesquisadores.

Para encontrar outros dispositivos de IoT para infectar e para relatar novas adições à botnet, o Dark Nexus agora usa scanners Telnet síncronos (envia cargas úteis) e assíncronos (relata credenciais ao servidor de comando e controle). Ele também usa o preenchimento de credenciais do Telnet e explorações projetadas para explorar de várias vulnerabilidades de segurança e comprometer uma longa lista de modelos de roteadores.

De acordo com os endereços IP que tentaram ataques correspondentes ao vetor do Dark Nexus contra os honeypots da Bitdefender, a rede de bots atualmente é composta por cerca de 1.372 bots. No entanto, dado o rápido ritmo de atualização e o grande número de possíveis alvos de IoT que podem ser comprometidos, essa botnet pode crescer em tamanho muito rapidamente.

“O código de inicialização do bot se assemelha ao do Qbot: bifurca-se várias vezes, bloqueia vários sinais e se desconecta do terminal”, diz o relatório. “Então, na linha do Mirai, ele se liga a uma porta fixa (7630), garantindo que uma única instância desse bot possa ser executada no dispositivo. O bot tenta se disfarçar alterando seu nome para ‘/ bin / busybox’ Outro recurso emprestado do Mirai é a desativação do sistema de proteção por chamadas periódicas do ioctl no dispositivo virtual”, acrescenta o documento.

A Bitdefender também descobriu que o Dark Nexus usa um sistema de pontuação baseado em pesos e limites projetados para avaliar o risco apresentado pelos processos em execução nos dispositivos comprometidos. O malware usa um módulo ‘killer’ que encerra automaticamente os processos que considera perigosos e que não estão em uma lista de permissões gerada desde a infecção do dispositivo.

Os ataques que podem ser lançados usando a botnet são ataques DDoS padrão também vistos em muitas outras redes bot, mas, em uma das variantes suportadas do DDoS, o Dark Nexus também pode ser solicitado a tentar disfarçar o tráfego malicioso que ele lança no alvo como inócuo. Tráfego HTTP projetado para imitar o tráfego do navegador da web.

Para defender os dispositivos IoT contra ataques lançados pela botnet Dark Nexus, a Bitdefender sugere que o usuário deve alterar imediatamente suas credenciais de administrador padrão e desativar o acesso remoto pela internet.

Compartilhar:

Últimas Notícias

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)