Los dispositivos integrados de Internet de las cosas (IoT) basado en Linux se han convertido en el objetivo de una nueva botnet llamada Pumabot.
La botnet escrita en GO está diseñada para llevar a cabo ataques de fuerza bruta en instancias SSH para expandir el tamaño y la escala y proporcionar malware adicional a los hosts infectados.
«El malware no escanea Internet, sino que recupera una lista de objetivos de un servidor de comando y control (C2) y obliga a las credenciales de SSH a obligarlos a forzarlos», dijo DarkTrace en un análisis compartido con Hacker News. «Cuando se obtiene el acceso, recibe un comando remoto y establece persistencia utilizando el archivo de servicios del sistema».
El malware Botnet está diseñado para obtener el acceso inicial mejorando con éxito las credenciales de SSH en una lista de direcciones IP cosechadas con puertos SSH abiertos. La lista de direcciones IP al objetivo se obtiene de un servidor externo («ssh.ddos-cc (.) Org»).
Como parte de un intento de fuerza bruta, el malware realiza varias comprobaciones para determinar si el sistema es apropiado y no un honeypot. Además, muestra intentos de verificar la presencia de la cadena «Pumatronix», el fabricante de sistemas de vigilancia y cámara de tráfico, y específicamente soltero o excluirlos.
El malware luego recopila información básica del sistema y la excluye en el servidor C2, luego establece la persistencia y ejecuta comandos recibidos del servidor.
«El malware está tratando de escribirse a /lib /redis y disfrazarse en un archivo de sistema Redis legítimo», dice DarkTrace. «A continuación, cree un servicio de Systemd permanente en/etc/systemd/System. Esto es redis.service o mysqi.service (señala la ortografía del capital i) dependiendo de lo que esté codificado en malware».
Esto dará la impresión de que el malware es benigno y sobrevivirá al reinicio. Dos de los comandos ejecutados por Botnet son «XMRIG» y «NetworkXM», lo que indica que los dispositivos comprometidos se están utilizando para extraer ilegalmente la criptomoneda.
Sin embargo, el comando se invoca sin especificar una ruta completa. Este es un aspecto que indica que es probable que la carga útil sea descargada o desempaquetada en otro lugar del host infectado. Darktrace dijo que el análisis de la campaña reveló otros binarios relacionados que se dice que se implementan como parte de una campaña más amplia.
Ddaemon obtiene el binario «NetworkXM» en «/usr/src/bao/networkxm» y el binario «networkxm» en el script shell «installx.sh» networkxm «.». Pet Otro script de shell «jc.sh» desde lusyn (.) xyz, permitiendo que todos los niveles de acceso lean, escriban y ejecuten, ejecuten la escritura y permitan claros de la historia de BASH. Pam_unix.so actúa como un rootkit que roba credenciales al interceptar inicios de sesión exitosos y escribirlas en un archivo. Esto se usa para monitorear el archivo «Con.txt» que se mueve a «/usr/bin/», luego representa el contenido del mismo servidor.
Dado que la función SSH Brute Force en Botnet Malware proporciona una funcionalidad similar a Worm, los usuarios deben revisar el archivo de aprobación_keys para auditar el sistema auditable de manera regular, especialmente los intentos fallidos de Rolgy. X-API-KEY: Jieruidashabi.
«Las botnets representan una amenaza SSH permanente basada en GO que aprovecha los sistemas comprometidos con herramientas automatizadas, credenciales y de Linux nativas.
«Demuestra su intención de imitar binarios legales (por ejemplo, Redis), Systemd de abuso por persistencia e incrustar la lógica de huellas dactilares para evitar la detección en honeypots y entornos restringidos».
Source link
