- Автор темы
- #1
Специалисты компании Fortinet предупреждают о новом варианте ботнета Gafgyt, получившем название C0XMO. Малварь нацелена на роутеры с прошивкой DD-WRT, но также исследователи выявили версии для ARM, MIPS, PowerPC, SuperH, x86, x86_64 и других архитектур.
По данным экспертов, главной особенностью C0XMO является модульная архитектура, благодаря которой операторы малвари могут обновлять механизмы эксплуатации уязвимостей, добавлять поддержку новых архитектур и расширять возможности вредоноса, не меняя основной полезной нагрузки.
Как и другие представители семейства Gafgyt, новый ботнет предназначен для проведения DDoS-атак. В арсенале малвари насчитывается 19 различных методов, включая UDP-, TCP-, SYN- и ICMP-флуд, Ping of Death, атаки с амплификацией через NTP и Memcached, а также несколько специфичных техник, ориентированных на Discord и игровые сервисы Valve. По данным специалистов, недавно этот ботнет уже использовался в атаках на неназванную технологическую компанию из Японии.
Для заражения маршрутизаторов вредонос использует старую уязвимость CVE-2021-27137 в DD-WRT. Этот баг связан с переполнением буфера из-за некорректной обработки пользовательского ввода и позволяет выполнить произвольный код без аутентификации.
В случае успешной компрометации устройства C0XMO загружает Python-скрипт, который устанавливает дополнительные библиотеки, необходимые для сканирования сети и работы через SSH и Telnet. После этого малварь начинает поиск новых жертв, перебирая адреса в интернете и проверяя популярные порты (включая 22, 23, 80, 443, 7547, 8080, 8443 и 8888).
Если подходящая цель найдена, C0XMO пытается подобрать учетные данные для SSH или Telnet, определяет архитектуру и подгружает соответствующий бинарник. Исследователи отмечают, что в скрипте реализовано около двадцати функций для поиска и эксплуатации различных багов, определения архитектуры и проверки доступности узлов.
Для закрепления в системе малварь копирует себя в скрытые каталоги (например, /tmp/.sys, /var/tmp/.sys и /dev/shm/.sys), после чего создает cron-задачи, которые перезапускают процесс каждые 15 минут. Дополнительно вредонос модифицирует стартовые шелл-скрипты, чтобы автоматически запускаться после каждой перезагрузки системы.
Еще одной особенностью C0XMO является борьба с конкурентами. Так, после заражения устройства вредонос проверяет список запущенных процессов, ищет клиентов других ботнетов, инструменты для пентеста и сервисы, которые могут помешать его работе. Все найденные процессы завершаются, а связанные с ними бинарники и механизмы закрепления уничтожаются.
Затем малварь подключается к управляющему серверу, используя жестко закодированный адрес и многоэтапный механизм аутентификации, после чего переходит в режим ожидания команд. Операторы C0XMO могут инициировать новые сканирования, управлять зараженными системами и проводить DDoS-атаки любым из доступных методов.
В Fortinet отмечают, что по сравнению с IoT-ботнетами прошлых лет архитектура C0XMO выглядит более зрелой и продуманной, заметно выделяясь на фоне других представителей семейства Gafgyt.
По данным экспертов, главной особенностью C0XMO является модульная архитектура, благодаря которой операторы малвари могут обновлять механизмы эксплуатации уязвимостей, добавлять поддержку новых архитектур и расширять возможности вредоноса, не меняя основной полезной нагрузки.
Как и другие представители семейства Gafgyt, новый ботнет предназначен для проведения DDoS-атак. В арсенале малвари насчитывается 19 различных методов, включая UDP-, TCP-, SYN- и ICMP-флуд, Ping of Death, атаки с амплификацией через NTP и Memcached, а также несколько специфичных техник, ориентированных на Discord и игровые сервисы Valve. По данным специалистов, недавно этот ботнет уже использовался в атаках на неназванную технологическую компанию из Японии.
Для заражения маршрутизаторов вредонос использует старую уязвимость CVE-2021-27137 в DD-WRT. Этот баг связан с переполнением буфера из-за некорректной обработки пользовательского ввода и позволяет выполнить произвольный код без аутентификации.
В случае успешной компрометации устройства C0XMO загружает Python-скрипт, который устанавливает дополнительные библиотеки, необходимые для сканирования сети и работы через SSH и Telnet. После этого малварь начинает поиск новых жертв, перебирая адреса в интернете и проверяя популярные порты (включая 22, 23, 80, 443, 7547, 8080, 8443 и 8888).
Если подходящая цель найдена, C0XMO пытается подобрать учетные данные для SSH или Telnet, определяет архитектуру и подгружает соответствующий бинарник. Исследователи отмечают, что в скрипте реализовано около двадцати функций для поиска и эксплуатации различных багов, определения архитектуры и проверки доступности узлов.
Для закрепления в системе малварь копирует себя в скрытые каталоги (например, /tmp/.sys, /var/tmp/.sys и /dev/shm/.sys), после чего создает cron-задачи, которые перезапускают процесс каждые 15 минут. Дополнительно вредонос модифицирует стартовые шелл-скрипты, чтобы автоматически запускаться после каждой перезагрузки системы.
Еще одной особенностью C0XMO является борьба с конкурентами. Так, после заражения устройства вредонос проверяет список запущенных процессов, ищет клиентов других ботнетов, инструменты для пентеста и сервисы, которые могут помешать его работе. Все найденные процессы завершаются, а связанные с ними бинарники и механизмы закрепления уничтожаются.
Затем малварь подключается к управляющему серверу, используя жестко закодированный адрес и многоэтапный механизм аутентификации, после чего переходит в режим ожидания команд. Операторы C0XMO могут инициировать новые сканирования, управлять зараженными системами и проводить DDoS-атаки любым из доступных методов.
В Fortinet отмечают, что по сравнению с IoT-ботнетами прошлых лет архитектура C0XMO выглядит более зрелой и продуманной, заметно выделяясь на фоне других представителей семейства Gafgyt.