Pink Botnet
Das Pink Botnet ist eines der größten Botnets, die von der infosec-Community in den letzten Jahren beobachtet wurden. Nach den Erkenntnissen der Forscher hat das Pink Botnet auf seinem Höhepunkt mehr als 1,6 Millionen Geräte infiziert und die Kontrolle über sie behauptet. Es sei darauf hingewiesen, dass sich die Ziele des Botnetzes fast ausschließlich in China befanden, wobei sich schätzungsweise 90 % der kompromittierten Geräte im Land befinden. Das Botnet konnte Schwachstellen in MIPS-basierten Glasfaserroutern ausnutzen.
Inhaltsverzeichnis
Struktur
Das Botnet wird von einer komplexen und robusten Architektur unterstützt, die es den Angreifern ermöglicht, die vollständige Kontrolle über die angegriffenen Geräte auszuüben. Um die Verteilung und Verfügbarkeit der notwendigen Konfigurationsdaten sicherzustellen, setzen die Hacker verschiedene Techniken ein. Erstens nutzten sie Dienste von Drittanbietern wie GITHUB und eine chinesische Website.
Dank seiner hybriden Architektur wurden die Konfigurationsdaten von Pink Botnet auch über P2P- (Peer-to-Peer) und C2-Server (Command-and-Control) verteilt. Eine der P2P-Methoden ist die P2P-Over-UDP123-Verteilung. Die doppelte Natur der Bedrohung ermöglicht es den Angreifern, sich auf P2P zu verlassen, um allgemeine Befehle zu liefern, während die C2-Route für die Bereitstellung kritischer, zeitkritischer Anweisungen reserviert ist, einschließlich des Starts von DDoS-Angriffen, der Einschleusung von Werbung in alle von Benutzern besuchten HTTP-Sites, usw.
Bedrohliche Befehle
Das Pink Botnet ist in der Lage, über 10 eingehende Befehle vom Botmaster zu erkennen und auszuführen. Je nach Ziel der Angreifer könnte das Botnet zusätzliche Dateien und Nutzlasten holen, beliebige Systembefehle ausführen, DDoS-Angriffe starten, Scans durchführen, sich selbst aktualisieren und mehr. Die Hacker könnten die Malware auch verwenden, um spezifische Gerätedetails zu sammeln – Systemtyp, CPU, Systemversion, Hardwareinformationen und Speicherinformationen.
Beharrlichkeit und Kampf mit Anbieter
Die besonderen Fähigkeiten des Pink-Botnets ermöglichen es, die Original-Firmware des beschädigten Glasfaserrouters zu flashen und dann mit einer neuen umzuschreiben, die einen C2-Downloader und den dazugehörigen Bootloader enthält. Danach haben die Cyberkriminellen die volle Kontrolle über das Gerät. Dadurch konnten sie ihren illegalen Zugriff auf die infizierten Router erfolgreich behalten, während es sich auch gegen verschiedene Ansätze des Herstellers des Geräts verteidigt. Letztendlich musste der Anbieter darauf zurückgreifen, dedizierte Techniker zu entsenden, um auf die beschädigten Router zuzugreifen und entweder die Debugging-Software zu zerlegen oder das Gerät vollständig zu ersetzen.
