ZHtrap Botnet

Obwohl der Quellcode des berüchtigten Mirai-Botnetzes bereits 2016 der Öffentlichkeit zugänglich gemacht wurde, verwenden Cyberkriminelle immer noch entweder Kleinigkeiten oder lassen sich davon inspirieren. Ein Beispiel für Letzteres ist das ZHtrap Botnet, das von den Forschern von 360 Netlab entdeckt wurde.

Die Malware kann eine Vielzahl von Geräten übernehmen und in die Struktur des Botnetzes integrieren. Der Hauptzweck des Botnetzes scheint darin zu bestehen, DDoS-Angriffe (Distributed Denial of Service) auszuführen. Ein auf den gefährdeten Geräten erstellter Backdoor-Kanal ermöglicht es dem Bedrohungsakteur jedoch auch, zusätzliche Malware-Nutzdaten zu löschen. Die Command-and-Control-Infrastruktur für die Kampagne verwendet einen im TOR-Netzwerk gehosteten Server und einen TOR-Proxy, der den vom Botnetz generierten abnormalen Kommunikationsverkehr maskiert.

Für seine Verbreitung nutzt ZHtrap vier bekannte Sicherheitslücken, mit denen Router, DVRs und UPnP-Netzwerkgeräte infiziert werden können. Insbesondere verfolgt ZHtrap Netgear DGN1000, MVPower DVR, Realtek SDK Miniigd UPnP SOAP-Endpunkte und zahlreiche CCTV-DVR-Geräte. Geräte mit schwachen Telnet-Passwörtern werden ebenfalls angegriffen.

Durch die Malware-Bedrohung wird sichergestellt, dass es sich um die einzige böswillige Nutzlast handelt, die auf dem jeweiligen Gerät über eine Whitelist ausgeführt wird, die nur die Prozesse enthält, die bereits auf dem Gerät gestartet wurden. Alle Versuche, zusätzliche Befehle auszuführen, werden blockiert.

Der Aspekt, der ZHtrap am meisten von den meisten anderen Botnetzen unterscheidet, ist jedoch seine Fähigkeit, kompromittierte Geräte in Honeypots zu verwandeln. Der Begriff Honeypot wird im Bereich Cybersicherheit verwendet, um ein Tool zu adressieren, das als Köder für Malware-Angriffe dient, indem Scans, Codebeispiele und potenzielle Exploits gesammelt werden. ZHtrap verwendet eine ähnliche Technik, kehrt jedoch ihren Zweck um. Es weist erfasste Geräte an, eine Liste von 23 Ports abzuhören. Alle IP-Adressen, die versuchen, über diese Ports eine Verbindung herzustellen, werden über das Scanmodul der Malware als neue potenzielle Ziele eingespeist.