Uma nova variante da botnet Gafgyt, chamada C0XMO, está mirando o firmware de roteadores DD-WRT e pode se espalhar para outros tipos de dispositivos com diferentes arquiteturas de CPU.
Os pesquisadores encontraram amostras para ARM, MIPS, PowerPC, SuperH, x86, x86_64 e outras arquiteturas, com exploits voltados para DVRs, roteadores, plataformas de gerenciamento de vídeo e dispositivos baseados em Android.
A botnet foi vista atacando uma empresa de tecnologia japonesa, mas os pesquisadores descobriram que o endereço IP de origem pertencia a um dispositivo localizado na Alemanha.
Pesquisadores da Fortinet descobriram o C0XMO e destacaram seu design modular, que permite aos operadores atualizar suas técnicas de exploração, adicionar ou remover arquiteturas-alvo e ampliar de forma independente suas capacidades de movimento lateral, sem depender do payload principal.
Na prática, o C0XMO continua sendo um malware voltado para a realização de ataques de negação de serviço distribuída, ou DDoS, e oferece suporte a 19 métodos, incluindo floods UDP, TCP, SYN e ICMP, o ataque conhecido como “ping of death”, amplificação via NTP e Memcached, floods UDP de voz do Discord e floods específicos da Valve.
Segundo os pesquisadores, o malware da botnet C0XMO é distribuído por meio da exploração da CVE-2021-27137, uma vulnerabilidade de estouro de buffer causada por validação insuficiente da entrada do usuário.
O ataque pode ser explorado sem autenticação e leva à execução de código arbitrário.
Para ampliar a distribuição, o C0XMO baixa um script em Python que instala pacotes adicionais como requests, paramiko e beautifulsoup4, necessários para varredura de rede, comunicação e execução de atividades por meio dos protocolos SSH e telnet.
O scanner então usa threads de trabalho para varrer aleatoriamente sistemas expostos à internet em portas comuns como 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 e outras.
Depois de encontrar um alvo, o malware tenta forçar credenciais fracas de Telnet e SSH, detecta a arquitetura da CPU e implanta um binário C0XMO compatível.
O script contém quase duas dezenas de funções para tarefas como varredura, exploração de vulnerabilidades em HTTP e em ADB, detecção da arquitetura da CPU, autenticação em SSH e Telnet e verificação de endereços IP.
O objetivo principal é avançar lateralmente pela rede.
Depois de obter acesso a um dispositivo, o malware se copia para locais ocultos como /tmp/.sys, /var/tmp/.sys e /dev/shm/.sys e, em seguida, cria tarefas cron para relançá-lo a cada 15 minutos.
Além disso, arquivos de inicialização do shell são modificados para permitir execução automática.
Além disso, o C0XMO verifica ativamente os processos em execução para identificar clientes de outras botnets no host, bem como ferramentas de red team, ferramentas de programação e serviços de rede que possam interferir em sua operação, encerrando esses processos.
Para isso, ele apaga binários e remove seus mecanismos de persistência, incluindo tarefas cron, scripts de inicialização, serviços do sistema e entradas em perfis do shell.
Depois disso, conecta-se a um endereço hardcoded de command and control (C2) usando um handshake personalizado em várias etapas, que inclui strings mágicas e segredos compartilhados, e então aguarda comandos.
Os comandos suportados incluem checagens de heartbeat, início e parada de varreduras e a execução de ataques DDoS usando um dos 19 métodos disponíveis.
A recomendação geral para se defender do C0XMO e de outros malware botnets é manter os dispositivos atualizados, usar credenciais de administrador exclusivas e desativar recursos de acesso remoto quando eles não forem necessários.
A Fortinet descreve o C0XMO como tendo “uma arquitetura e um conjunto de recursos consideravelmente mais avançados em comparação com botnets de IoT anteriores”.
Os pesquisadores observam que o design geral do malware indica “um grau maior de sofisticação operacional e complexidade do que o malware Gafgyt típico”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...