InfectedSlurs Botnet

Ein kürzlich entdecktes Malware-Botnetz namens „InfectedSlurs“ nutzt zwei Zero-Day-Schwachstellen für Remote Code Execution (RCE) aus, um Router und Videorecorder (NVR)-Geräte zu gefährden. Diese bedrohliche Software übernimmt die Kontrolle über die infizierten Geräte und bindet sie in einen DDoS-Schwarm (Distributed Denial of Service) ein, der wahrscheinlich aus finanziellen Gründen vermietet wird. Analysten gehen davon aus, dass die ersten Anzeichen einer Aktivität des Botnetzes bis Ende 2022 zurückreichen, erstmals wurde das Botnet jedoch im Oktober 2023 entdeckt.

Das InfectedSlurs-Botnetz hatte es geschafft, unter dem Radar zu bleiben

Analysten entdeckten verdächtiges Verhalten bei niederfrequenten Sonden, die versuchten, sich über POST-Anfragen zu authentifizieren, gefolgt von einem Befehlsinjektionsversuch. Anhand der verfügbaren Daten führten die Forscher einen umfassenden Scan im Internet durch und stellten fest, dass die betroffenen Geräte einem bestimmten NVR-Hersteller zugeordnet waren. Ihre Ergebnisse deuten darauf hin, dass das Botnetz eine nicht gemeldete Sicherheitslücke zur Remotecodeausführung (RCE) ausnutzt, um sich unbefugten Zugriff auf das Gerät zu verschaffen.

Bei näherer Betrachtung stellte sich heraus, dass die Malware Standardanmeldeinformationen ausnutzt, die in den Handbüchern der Anbieter für verschiedene NVR-Produkte zu finden sind. Es nutzt diese Anmeldeinformationen, um einen Bot-Client zu installieren und andere böswillige Aktionen auszuführen. Bei näherer Betrachtung der Untersuchung stellte sich heraus, dass das Botnetz auch auf einen weit verbreiteten WLAN-Router abzielt, der bei Heimanwendern und Hotels beliebt ist. Dieser Router ist anfällig für einen weiteren Zero-Day-RCE-Fehler, der von der Malware für ihre Aktivitäten ausgenutzt wird.

InfectedSlurs zeigt gegenüber Mirai kaum Verbesserungen

Die identifizierte Malware, die von Forschern als „InfectedSlurs“ bezeichnet wird, verdankt ihren Namen der Verwendung anstößiger Sprache in den Command-and-Control-Domänen (C2, C&C) und fest codierten Zeichenfolgen. Die C2-Infrastruktur, die auch den Betrieb von HailBot zu erleichtern scheint, weist eine bemerkenswerte Konzentration auf. Diese Bedrohung wird als JenX Mirai-Variante identifiziert. Darüber hinaus wurde bei einer Untersuchung ein mit dem Cluster verknüpftes Telegram-Konto aufgedeckt, obwohl das Konto inzwischen gelöscht wurde.

Der Benutzer hinter dem Konto hat Screenshots geteilt, die fast zehntausend Bots enthüllen, die das Telnet-Protokoll verwenden, und weitere 12.000 Bots, die auf bestimmte Gerätetypen/Marken wie „Vacron“, „ntel“ und „UTT-Bots“ abzielen.

Bei der Analyse wurden im Vergleich zum ursprünglichen Mirai-Botnet nur minimale Codeänderungen festgestellt, was darauf hindeutet, dass InfectedSlurs als sich selbst verbreitendes DDoS-Tool fungiert. Es unterstützt Angriffe mit SYN-, UDP- und HTTP-GET-Anfragefluten.

Ähnlich wie Mirai fehlt InfectedSlurs ein Persistenzmechanismus. Da für die betroffenen Geräte kein Patch verfügbar ist, kann eine vorübergehende Unterbrechung des Botnetzes durch einen Neustart der NVR- und Router-Geräte erreicht werden.