Trojan.SH.MIRAI.BOI
Trojan.SH.MIRAI.BOI ist die Bezeichnung, die einem benutzerdefinierten Mirai-Botnet-Downloader zugewiesen wird. Seit der Veröffentlichung des Codes des Mirai-Botnetzes im Jahr 2016 hatten Cyberkriminelle die Möglichkeit, ihn einfach zu nutzen und ihre eigenen Modifikationen hinzuzufügen, um besser zu ihrer Agenda zu passen. Der Trojan.SH.MIRAI.BOI wurde entwickelt, um IoT-Geräte (Internet of Things) anzugreifen, indem nach exponierten Big-IP-Boxen gesucht, mehrere Sicherheitslücken missbraucht und eine bedrohliche Nutzlast bereitgestellt wird. Die Sicherheitsanfälligkeit, auf die sich Trojan.SH.MIRAI.BOI hauptsächlich konzentriert, ist CVE-2020-5902. Im Kern besteht dieser Fehler aus einer RCE-Sicherheitsanfälligkeit (Remote Code Execution), die sich auf die Verkehrsmanagement-Benutzeroberfläche (TMUI) von Big-IP-Geräten auswirken kann. Der Exploit ist äußerst bedrohlich, da die Hacker beliebige Befehle auf dem infizierten Gerät ausführen können, indem sie einfach eine GET-Anforderung mit einem Parameter 'command' an 'tmshCmd.jsp' senden.
Infosec-Forscher haben im Rahmen der Bedrohungsoperationen zwei IP-Adressen erkannt. Der erste unter txxp: //79.124.8.24/bins/ fungiert als Infiltrationsvektor, während hxxp: //78.142.18.20 der Command-and-Control-Server (C2, C & C) ist. Der Host-Server enthielt mehrere Dateien mit dem Namen SORA, eine weitere Variante, die auf dem Mirai Botnet basiert und auf Brute-Force-Angriffe, die Ausnutzung von RCE-Schwachstellen und eine Shell-Skriptdatei mit dem Namen "fetch.sh" spezialisiert ist. Das Shell-Skript ist dafür verantwortlich, den C & C-Server zu kontaktieren und die entsprechenden Anwendungsnutzdaten bereitzustellen. Außerdem wird die automatische Ausführung der beschädigten Binärdateien eingerichtet. Darüber hinaus richtet das Skript über das Tool iptables alle Pakete ein, die an häufig verwendete TCP-Ports gesendet werden, z. B. für Telnet, das Device Web Panel (HTTP) und Secure Shell (SSH), die verworfen werden sollen. Das mögliche Ziel besteht entweder darin, zu verhindern, dass andere Malware das bereits gefährdete Gerät infiziert, oder die Benutzer daran zu hindern, auf die Verwaltungsoberfläche des Geräts zuzugreifen.
Abgesehen von der Sicherheitsanfälligkeit CVE-2020-5902 nutzt Trojan.SH.MIRAI.BOI neun weitere Sicherheitsanfälligkeiten aus, von denen drei zum Zeitpunkt der Erkennung der Bedrohung keine CVE-Identifizierung hatten.
