Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Palo Alto's Unit 42 entdeckt neue GoBruteforcer-Malware
März 22, 2023 - TuxCare PR Team
Die Forscher von Unit42 bei Palo Alto Networks haben eine neue GoBruteforcer-Malware entdeckt, die auf phpMyAdmin, MySQL, FTP und Postgres abzielt. Die neu entdeckte Golang-basierte Botnet-Malware sucht und infiziert Webserver, auf denen phpMyAdmin-, MySQL-, FTP- und Postgres-Dienste laufen.
Nach Angaben der Forscher: "Für eine erfolgreiche Ausführung benötigen die Samples spezielle Bedingungen im System des Opfers, wie z. B. die Verwendung bestimmter Argumente und bereits installierte Zieldienste (mit schwachen Passwörtern)."
Die Malware beginnt mit dem Scannen nach phpMyAdmin-, MySQL-, FTP- und Postgres-Diensten für jede Ziel-IP-Adresse. Sie versucht, sich mit fest codierten Anmeldeinformationen anzumelden, nachdem sie einen offenen Port entdeckt hat, der Verbindungen akzeptiert.
Sobald er sich Zugang verschafft hat, installiert er einen IRC-Bot auf kompromittierten phpMyAdmin-Systemen oder eine PHP-Web-Shell auf Servern, die andere gezielte Dienste hosten. GoBruteforcer verbindet sich dann mit seinem Command-and-Control-Server und wartet auf Anweisungen, die über den zuvor installierten IRC-Bot oder die Web-Shell übermittelt werden.
GoBruteforcer, das sich anscheinend noch in der Entwicklung befindet, enthält UPX Packer und ein Multi-Scan-Modul zur Identifizierung offener Ports für bestimmte Dienste. Sobald ein Port identifiziert ist, wird der Server mit Hilfe von hart kodierten Anmeldeinformationen geknackt. Es wird nach allen offenen Ports 80 für phpMyAdmin-Dienste gesucht, bevor versucht wird, den IRC-Bot für die Kommunikation einzusetzen.
Bei MySQL- und Postgres-Diensten prüft die Malware, ob die Ports 3306 und 5432 offen sind, und pingt dann die Datenbank des Hosts mit bestimmten Anmeldeinformationen an. Bei FTP-Diensten prüft sie, ob Port 21 offen ist, und versucht dann, sich mit der Goftp-Bibliothek zu authentifizieren. Die GoBruteforcer-Malware-Samples werden mit UPX Packer gepackt. Beim Entpacken eines Beispiels (SHA256
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84). Außerdem verfügt der GoBruteforcer über ein Multiscan-Modul, mit dem er nach den Hosts innerhalb einer CIDR für seinen Angriff sucht.
"Wir haben gesehen, dass diese Malware aus der Ferne eine Vielzahl verschiedener Malware-Typen als Nutzlast einsetzt, darunter auch Coinminer. Wir glauben, dass sich GoBruteforcer in aktiver Entwicklung befindet und sich daher Dinge wie anfängliche Infektionsvektoren oder Nutzlasten in naher Zukunft ändern könnten", so die Forscher.
Die GoBruteforcer-Malware hat es hauptsächlich auf Unix-ähnliche (*nix) Plattformen abgesehen, mit Versionen für x86-, x64- und ARM-Architekturen. Es scheint wahrscheinlich, dass dies das Betriebssystem ihrer Wahl ist, da *nix-Betriebssysteme eine beliebte Wahl für das Hosting von Servern sind. Es wird davon ausgegangen, dass GoBruteforcer aktiv weiterentwickelt wird, so dass sich Dinge wie anfängliche Infektionsvektoren oder Nutzlasten in naher Zukunft ändern könnten.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
