Enemybot: nueva red de bots DDoS

Los investigadores de Fortinet han descubierto una nueva red de bots DDoS, rastreada como Enemybot, que ha atacado varios routers y servidores web explotando vulnerabilidades conocidas. La red de bots se dirige a múltiples arquitecturas, incluyendo arm, bsd, x64 y x86.

Los investigadores atribuyen la red de bots al grupo de ciberdelincuentes Keksec, que se dedica a la extorsión basada en DDoS.

Al instalar la amenaza, el bot deja caer un archivo en /tmp/.pwned, que contiene un mensaje que se atribuye a Keksec. El mensaje se almacenaba como u archivo de texto en muestras anteriores, las nuevas muestras se publicaron con el mensaje codificado con una operación XOR utilizando una clave de varios bytes.

Los expertos señalaron que el malware se está desarrollando activamente.

La red de bots Enemybot toma prestado el código del bot Gafgyt y reutiliza algunos códigos de la infame red de bots Mirai. Gafgyt es una opción popular para lanzar ataques DDoS a gran escala, apareció por primera vez en el panorama de las amenazas en 2014.

“Utiliza varios métodos de ofuscación de sus cadenas para dificultar el análisis y ocultarse de otras botnets. Además, se conecta a un servidor de mando y control (C2) que está oculto en la red Tor, lo que complica su desmantelamiento”, refleja el análisis publicado por Fortinet. “Se ha visto a Enemybot apuntando a routers de Seowon Intech, D-Link, y explota una vulnerabilidad del router iRZ recientemente reportada para infectar más dispositivos”.

La botnet implementa múltiples técnicas de ofuscación para evitar la detección y oculta el C2 en la red Tor.
La botnet Enemybot emplea varios métodos para propagarse y se dirige a otros dispositivos IoT. Utiliza una lista de combinaciones de nombre de usuario y contraseña codificadas para iniciar sesión en los dispositivos en un intento de acceder a los sistemas utilizando credenciales débiles o predeterminadas. El bot también intenta ejecutar comandos de shell para infectar dispositivos Android mal configurados que exponen el puerto Android Debug Bridge (5555).

El malware explota decenas de vulnerabilidades conocidas, incluyendo:

  • CVE-2020-17456 vulnerabilidad que afecta a los routers SEOWON INTECH SLC-130 y SLR-120S;
  • CVE-2018-10823 defecto que afecta a los routers D-Link más antiguos (DWR-116 hasta 1.06, DWR-512 hasta 2.02, DWR-712 hasta 2.02, DWR 912 hasta 2.02, DWR-921 hasta 2.02, DWR-111 hasta 1.01).
  • CVE-2022-27226 que afecta a los routers móviles iRZ;
  • CVE-2022-25075 a 25084: se dirige a los routers TOTOLINK, previamente explotados por la red de bots Beastmode
  • CVE-2021-44228/2021-45046: Más conocido como Log4j, hay más detalles disponibles en nuestro blog PSIRT de Fortinet
  • CVE-2021-41773/CVE-2021-42013: Tiene como objetivo los servidores HTTP Apache
  • CVE-2018-20062: Tiene como objetivo el CMS ThinkPHP
  • CVE-2017-18368: Tiene como objetivo los routers Zyxel P660HN
  • CVE-2016-6277: Tiene como objetivo los routers NETGEAR
  • CVE-2015-2051: Dirigido a los routers D-Link
  • CVE-2014-9118: Dirigido a routers Zhone
  • Explotación NETGEAR DGN1000 (sin CVE asignado): Dirigido a los routers NETGEAR

Una vez explotado uno de los fallos anteriores, el bot ejecuta un comando de shell para descargar un script de shell desde una URL que es actualizada dinámicamente por el C2 mediante el comando LDSERVER. A continuación, el script descarga el binario real de Enemybot que se compila para la arquitectura del dispositivo objetivo.

En caso de que el servidor de descarga esté caído, los operadores de la botnet pueden actualizar los clientes del bot con una nueva URL.

Una vez que el bot ha sido instalado en un dispositivo, se conecta a su servidor C2 y espera otros comandos.
A continuación se muestra la lista de comandos admitidos:

 

“Según el análisis de FortiGuard Labs, Enemybot es la última herramienta de Keksec para realizar ataques DDoS”. Fortinet señala. “Para protegerse, utiliza técnicas sencillas de ofuscación en sus cadenas, además de alojar su servidor C2 en la red Tor, aprovechando el anonimato de la red. Utiliza varias técnicas comúnmente encontradas en otros malware de botnet DDoS para infectar otros dispositivos.”

Mr. X

Compartir este artículo

¡Me gusta este artículo!

1

Artículos relacionados

    Deja un comentario

    ¡Gracias por dejar tu comentario!

    Entradas recientes