Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Microsoft erklärt die neuen Funktionen der Zerobot-Malware
Januar 4, 2023 - TuxCare PR Team
Die in diesem Blog-Beitrag besprochene Zerobot-Malware steht in keinem Zusammenhang mit ZeroBot.ai, einem GPT-3.5-betriebenen verbalen Chatbot gleichen Namens, und auch nicht mit dem ZeroBot Raspberry Pi Zero 3D-gedruckten Video-Streaming-Roboter, der ebenfalls den gleichen Namen trägt
Laut Microsoft hat Zerobot, ein einzigartiges, in Go geschriebenes und über IoT- und Webanwendungsschwachstellen verbreitetes Botnet, neue Funktionen und Infektionsmechanismen hinzugefügt.
Zerobot enthält laut FortiGuard Labs mehrere Module, darunter die Selbstreplikation, Angriffe auf verschiedene Protokolle und die Selbstvermehrung. Außerdem verwendet er das WebSocket-Protokoll, um mit seinem Command-and-Control-Server zu kommunizieren.
Laut Microsoft hat die Malware die Version 1.1 erreicht und ist in der Lage, Schwachstellen in Apache und Apache Spark auszunutzen, um verschiedene Endpunkte zu kompromittieren und sie dann für Angriffe zu verwenden. Die Schwachstellen, die zum Einsatz von Zerobot verwendet werden, werden als CVE-2021-42013 und CVE-2022-33891 bezeichnet. Es wurde auch erwähnt, dass die Fähigkeit, Schwachstellen in MiniDVBLinux DVR-Systemen, Grandstream-Netzwerksystemen und der Roxy-WI-GUI auszunutzen, zu den Funktionen gehört.
Microsoft erklärt, dass Zerobot, sobald es auf dem Gerät ist, eine bösartige Nutzlast injiziert, die dann versucht, mehrere Binärdateien herunterzuladen, um die Architektur durch Brute-Force zu identifizieren. Je nach Betriebssystem verwendet das Botnet eine Reihe von Persistenzmechanismen, um den Zugriff auf infizierte Geräte aufrechtzuerhalten.
"Die Malware kann versuchen, über eine Kombination aus acht gängigen Benutzernamen und 130 Passwörtern für IoT-Geräte über SSH und Telnet an den Ports 23 und 2323 auf Geräte zuzugreifen", schrieb Microsoft und fügte hinzu, dass auch versucht wurde, über Port-Knocking an den Ports 80, 8080, 8888 und 2323 auf Ports zuzugreifen und diese zu kombinieren.
Darüber hinaus verfügt er über zusätzliche Fähigkeiten für verteilte Denial-of-Service-Angriffe, wie z. B. Funktionen, mit denen Bedrohungsakteure Ressourcen angreifen und deaktivieren können. Erfolgreiche Zerobot-DDOS-Angriffe können genutzt werden, um Lösegeldzahlungen zu erpressen, von anderen böswilligen Aktivitäten abzulenken oder den Betrieb zu stören.
Nach Angaben von Microsoft können Bedrohungsakteure mit diesen Funktionen verschiedene Ressourcen angreifen und unzugänglich machen. Dem Bericht zufolge ist der Zielport bei fast jedem Angriff anpassbar, so dass Bedrohungsakteure, die die Malware kaufen, den Angriff nach ihren Vorstellungen modifizieren können.
Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.
