Computer Security Forscher zerlegen Enemybot-Hybrid-Botnetze, die echte...

Forscher zerlegen Enemybot-Hybrid-Botnetze, die echte Gefahren aufdecken

Ein Forscherteam der Sicherheitsfirma FortiGuard hat kürzlich einen Blogbeitrag veröffentlicht, in dem eine neue Botnet-Malware beschrieben wird. Das Botnetz konzentriert sich in erster Linie auf verteilte Denial-of-Service-Angriffe und trägt den Namen Enemybot.

Enemybot ist eine Mischung aus Mirai und Gafgyt

Laut FortiGuard ist Enemybot so etwas wie eine Mutante, die sich Code und Module sowohl aus dem berüchtigten Mirai-Botnet als auch aus dem Bashlite- oder Gafgyt-Botnet ausleiht, wobei weitere von letzterem ausgeliehen werden. Die Tatsache, dass der Quellcode beider Botnet-Familien online verfügbar ist, macht es neuen Bedrohungsakteuren leicht, die Fackel in die Hand zu nehmen, zu kombinieren und ihre eigene Version zu produzieren, ähnlich wie Enemybot.

Die neue Enemybot-Malware wird mit dem Bedrohungsakteur Keksec in Verbindung gebracht – einer Entität, die hauptsächlich dafür bekannt ist, frühere DDoS-Angriffe (Distributed Denial of Service) durchgezogen zu haben. Die neue Malware wurde von FortiGuard bei Angriffen auf Router-Hardware des koreanischen Herstellers Seowon Intech sowie auf die bekannteren D-Link-Router entdeckt. Auch schlecht konfigurierte Android-Geräte sind anfällig für Angriffe der Malware.

Die wahren Gefahren von Enemybot wurden aufgedeckt. Um Zielgeräte zu kompromittieren, greift Enemybot auf eine breite Palette bekannter Exploits und Schwachstellen zurück, einschließlich der heißesten des vergangenen Jahres – Log4j.

Enemybot zielt auf eine Vielzahl von Geräten ab

Die Malware verteilt eine Datei im /tmp-Verzeichnis mit der Erweiterung .pwned. Die .pwned-Datei enthält eine einfache Textnachricht, die das Opfer verspottet und mitteilt, wer die Autoren sind, in diesem Fall – Keksec.

Das Enemybot-Botnet zielt auf fast jede erdenkliche Chiparchitektur ab, von verschiedenen Arm-Versionen über Standard-x64 und x86 bis hin zu BSD und SPC.

Nach der Bereitstellung lädt die Nutzlast des Botnetzes Binärdateien vom C2-Server herunter, und die Binärdateien werden zum Ausführen von DDoS-Befehlen verwendet. Die Malware hat auch ein gewisses Maß an Verschleierung, einschließlich der Tatsache, dass ihr C2-Server eine .onion-Domain verwendet.

FortiGuard ist der Ansicht, dass die Malware immer noch aktiv bearbeitet und verbessert wird, möglicherweise von mehr als einer Gruppe von Bedrohungsakteuren, da Änderungen in verschiedenen Versionen der .pwned-Datei festgestellt wurden.

Wird geladen...