Mirai-Botnet nutzt Zero-Day-Bugs für DDoS-Angriffe aus
InfectedSlurs, ein Mirai-Botnetz Malware, hat zwei Zero-Day-Schwachstellen ausgenutzt Remote-Code-Ausführung (RCE) Schwachstellen aus. Die Malware zielt auf Router und Videorekorder (NVR) ab, um sie in ihren DDoS-Schwarm (Distributed Denial of Service) einzubinden. Obwohl das Botnet im Oktober 2023 entdeckt wurdeentdeckt wurde, geht man davon aus, dass seine ersten Aktivitäten auf die zweite Hälfte des Jahres 2022 zurückgehen. In diesem Blog gehen wir darauf ein, wie das Botnet entdeckt wurde, wie es funktioniert und mehr.
Details zur Mirai-Botnet-Erkennung
Das Botnet wurde entdeckt, als das Security Intelligence Response Team (SIRT) von Akamai bösartige Aktivitäten in Bezug auf die Honeypots des Unternehmens bemerkte. Derzeit geht man davon aus, dass die böswilligen Aktivitäten auf einen selten genutzten TCP-Port abzielten. Die SIRT-Teams bemerkten Schwankungen in der Häufigkeit der Zero-Day-Exploits.
Eine Analyse der Zero-Day-Schwachstellendie von Akamai veröffentlicht wurde, heißt es, "Die Aktivität begann mit einem kleinen Ausbruch, der mit 20 Versuchen pro Tag seinen Höhepunkt erreichte, und schwächte sich dann auf durchschnittlich zwei bis drei Versuche pro Tag ab, wobei es an manchen Tagen überhaupt keine Versuche gab." Es ist erwähnenswert, dass anfällige Geräte, die dem Botnet zum Opfer fielen, bis zum 9. November 2023 unbekannt waren.
Anfänglich erfolgten die Tests in geringer Häufigkeit und versuchten, sich mit einer POST-Anfrage zu authentifizieren. Nachdem das Botnet Zugang erhalten hatte, versuchte es, eine Befehlsinjektion auszunutzen. Die Forscher haben auch festgestellt, dass das Botnet Standard-Admin-Anmeldeinformationen für die Installation von Mirai-Varianten verwendet.
Bei näherer Betrachtung stellte sich heraus, dass die für Hotels und Wohngebäude gebauten WLAN-Router ebenfalls Ziel des Mirai-Botnetz. Akamai äußerte sich zu der RCE-Schwachstelle, die für einen nicht autorisierten Zugriff ausgenutzt wird: "Das SIRT hat eine schnelle Überprüfung auf CVEs durchgeführt, die bekanntermaßen die NVR-Geräte dieses Anbieters betreffen, und war überrascht, dass wir eine neue Zero-Day-Schwachstelle sahen, die aktiv in freier Wildbahn ausgenutzt wird."
InfectedSlurs, JenX, und hailBot
Es wird vermutet, dass das InfectedSlurs-Botnetz mit anderen Bedrohungen der Cybersicherheit wie JenX und hailBot. Das Botnet verdankt seinen Namen der Verwendung rassistischer und beleidigender Sprache in den Command-and-Control-Servern (C2) und Strings. Derzeit gehen Forscher davon aus, dass es sich bei diesem Botnet um eine Variante der 2018 aufgetauchten JenX Mira-Malware handelt.
Obwohl das Botnet hauptsächlich die JenX-Variante verwendet, schienen einige Beispiele auch mit der hailBot-Variante verbunden zu sein. Diejenigen, die Netzwerksicherheitsmaßnahmen zu implementieren, sollten wissen, dass der Dateiname von JenX "jxkl" und der vermutete Dateiname für hailBot würde "skid".
Ein weiterer eindeutiger Bezeichner für hailBot ist die Konsolenzeichenfolge "hail china mainland" die während der Ausführung sichtbar wird. Dies war in einem Beispiel, das vom C2-Server kam, zu beobachten "5.181.80[.]120" kam und den Domänennamen "husd8uasd9[.]online".
Weitere Hinweise auf eine C2-Infrastruktur wurden von gelöschten Telegram-Nutzern auf einem DDoS-Marktplatz namens "DStatCC". Darüber hinaus scheinen die Angriffe des ursprünglichen Mirai-Botnets und des im Oktober verwendeten Botnets recht ähnlich zu sein, da sie dieselben Funktionen verwenden und auf dieselben Speicherplätze abzielen.
Strategien zur Abwehr von Cyberangriffen
Bevor wir über Prävention von Botnet-Schwachstellenwissen wir, dass das SIRT-Team mit verschiedenen Cybersicherheitsbehörden zusammenarbeitet, um die vom Botnet betroffenen Anbieter zu informieren. Einzelheiten zu den Anbietern wurden nicht bekannt gegeben, da dies die Zahl der Angriffe erhöhen könnte.
Sicherheit im Internet der Dinge (IoT) Die Maßnahmen zur Verhinderung solcher Angriffe variieren bei InfectedSlur-Infektionen und DDoS-Angriffen.
- Für InfectedSlur-Infektionen:
- Prüfen und ersetzen Sie die Standard-Anmeldeinformationen.
- Isolieren Sie anfällige Geräte und suchen Sie nach einer Kompromittierung.
- Für Verhinderung von DDoS-Angriffen:
- Umsetzung KAG-Empfehlungen.
- Untersuchen Sie Subnetze und IP-Räume.
- Entwicklung von DDoS-Sicherheitskontrollen.
- Prüfen und beseitigen Sie Möglichkeiten für seitliche Bewegungen.
Schlussfolgerung
Das InfectedSlur-Botnet nutzt zwei unbekannte RCE-Schwachstellen aus, um NVR-Geräte anzugreifen. Obwohl die Malware gerade erst entdeckt wurde, können ihre Aktivitäten bis ins Jahr 2022 zurückverfolgt werden. Das Botnet ist mit früheren Varianten, darunter JenX und hailBot, verknüpft. Bisher wurden noch keine Patches bereitgestellt, aber die Einhaltung von proaktive Cybersicherheitsmaßnahmen kann jedoch dazu beitragen, die Sicherheitslage zu verbessern und sich gegen Bedrohungsakteure zu schützen.
Die Quelle für diesen Artikel sind Artikel in den Hacker-Nachrichten und Bleeping Computer.