В середине марта специалисты FortiGuard Labs обнаружили новый DDoS-ботнет, называющий себя "Enemybot" и приписывающий себя Keksec, группе угроз, специализирующейся на криптомайнинге и DDoS-атаках.
Enemybot Botnet
Enemybot - это новейший инструмент компании Keksec для проведения DDoS-атак.
Эта бот-сеть в основном создана на основе исходного кода Gafgyt, но было замечено, что она заимствует несколько модулей из исходного кода Mirai. Он использует несколько методов обфускации для своих строк, чтобы затруднить анализ и скрыть себя от других ботнетов. Кроме того, он подключается к командно-контрольному серверу (C2), который скрыт в сети Tor, что усложняет его захват.
Enemybot был замечен в атаках на маршрутизаторы Seowon Intech, D-Link и использует недавно обнаруженную уязвимость маршрутизатора iRZ для заражения большего количества устройств.
Как и большинство ботнетов, эта вредоносная программа заражает несколько архитектур, чтобы увеличить свои шансы на заражение большего количества устройств. Помимо устройств IoT, Enemybot также нацелен на настольные/серверные архитектуры, такие как BSD, включая Darwin (macOS), и x64.
Enemybot обфусцирует строки различными способами:
- C2-домен использует XOR-кодировку с многобайтовым ключом
- Учетные данные для брутфорсинга SSH и ключевые слова бота используют кодировку в стиле Mirai, т.е. однобайтовое XOR-кодирование с 0x22
- Команды шифруются с помощью подстановочного шифра, т.е. заменой одного символа на другой.
- Некоторые строки кодируются простым прибавлением трех к числовому значению каждого символа.
Используемые уязвимости
- CVE-2020-17456 - уязвимость, нацеленная на маршрутизаторы SEOWON INTECH SLC-130 и SLR-120S.
- Уязвимость (CVE не присвоен) нацелена на маршрутизатор Seowon SLC-130. Это похоже на предыдущий эксплойт, только на этот раз команда может быть введена в уязвимый параметр queriesCnt. Реализация, вероятно, была основана на общедоступном коде эксплойта.
- CVE-2018-10823 - это уязвимость старых маршрутизаторов D-Link, которая позволяет авторизованному пользователю выполнить вредоносную команду в параметре Sip на странице chkisg.htm
- CVE-2022-27226 - это недавняя уязвимость в мобильных маршрутизаторах iRZ, которая была использована Enemybot вскоре после ее публикации 19 марта 2022 года. Фактически, это первый ботнет, нацеленный на устройства этого производителя.
- CVE-2022-25075 - 25084: нацелен на маршрутизаторы TOTOLINK, ранее использовался ботнетом Beastmode
- CVE-2021-44228/2021-45046: более известен как Log4j, более подробная информация доступна в нашем блоге Fortinet PSIRT
- CVE-2021-41773/CVE-2021-42013: Нацелен на HTTP-серверы Apache
- CVE-2018-20062: Нацелен на CMS ThinkPHP
- CVE-2017-18368: Цели - маршрутизаторы Zyxel P660HN
- CVE-2016-6277: Мишени маршрутизаторы NETGEAR
- CVE-2015-2051: Цели - маршрутизаторы D-Link
- CVE-2014-9118: нацелен на маршрутизаторы Zhone
- Эксплойт NETGEAR DGN1000 (CVE не присвоен): Нацелен на маршрутизаторы NETGEAR
Indicators of Compromise
IPv4
- 198.12.116.254
Domains
- xfrvkmokgfb2pajafphw3upl6gq2uurde7de7iexw4aajvslnsmev5id.onion
URLs
- http://198.12.116.254/folder/dnsamp.txt
- http://198.12.116.254/folder/enemybotarm
- http://198.12.116.254/folder/enemybotarm5
- http://198.12.116.254/folder/enemybotarm64
- http://198.12.116.254/folder/enemybotarm7
- http://198.12.116.254/folder/enemybotbsd
- http://198.12.116.254/folder/enemybotdarwin
- http://198.12.116.254/folder/enemyboti586
- http://198.12.116.254/folder/enemyboti686
- http://198.12.116.254/folder/enemybotm68k
- http://198.12.116.254/folder/enemybotmips
- http://198.12.116.254/folder/enemybotmpsl
- http://198.12.116.254/folder/enemybotppc
- http://198.12.116.254/folder/enemybotppc-440fp
- http://198.12.116.254/folder/enemybotsh4
- http://198.12.116.254/folder/enemybotspc
- http://198.12.116.254/folder/enemybotx64
- http://198.12.116.254/folder/enemybotx86
- http://198.12.116.254/update.sh
SHA256
- 06f9083e8109685aecb2c35441932d757184f7749096c9e23aa7d8b7a6c080f8
- 2e6305521d4ac770fc661658da6736d658eef384a9aa68bc49613d2be2d23a0d
- 2ea62957b9dd8e95052d64a48626c0fa137f0fa9ca4fa53f7f1d8fe35aa38dc0
- 2ec8016e5fb8375d0cc66bc81f21c2d3f22b785eb4f8e2a02b0b5254159696f5
- 32faf178c5929510234f2d02aea39ca67ab893e18f60c1593f0c043153625e9d
- 33d282c6bccf608d4fbf3a211879759019741c1b822c6cea56c6f479be598367
- 373b43345a7e4a6b1d5a6d568a8f6a38906760ea761eacd51a11c164393e4bad
- 4b2b4876ecc7d466eceb30ecbd79001af142b629200bbe61ebd45f4e63cd62ef
- 5260b9a859d936c5b8e0dd81c0238de136d1159e41f0b148f86e2555cf4a4e38
- 73e929575afc04758a23c027ebe4f60ab5c4ba0ab7fa8756b27ed71548302009
- 80f264d7b45a52bd000165f3f3b0fdc0e405f3f128a60a9ec6f085bfba114971
- 820703b9a28d4b46692b7bf61431dc81186a970c243182740d623817910051d1
- 93706966361922b493d816fa6ee1347c90de49b6d59fc01c033abdd6549ac8b9
- 9790f79da34a70e7fb2e07896a5ada662978473457ca5e2701bd1d1df0b9f10f
- 980fb4731a70a472699fcbee1a16e76c78c1b36ab6430b94dbe2169f8ac21340
- 9acf649b74f4aae43a2db90b8d39a7cd39bf6b82c995da7a1ffa6f23c3549b14
- a7213ae906a008ad06020436db120a14568c41eae4335d6c76f2bbc33ee9fbcc
- a799be50ad82e6338c9e0b33d38612e6ad171872407d5d7de36022adf9b8bf63
- adb51a8d112590a6fdd02ac8d812b837bbe0fcdd762dba6bbba0bd0b538f9aef
- b025a17de0ba05e3821444da8f8fc3d529707d6b311102db90d9f04c11577573
- b56655c3c9eed7cd4bce98eeebdcead8daa75a33498ad4f287c753ecc9554aca
- bf2f2eb08489552d46b8f50fb07073433f4af94e1215865c48d45f795f96342f
- c01156693d1d75481dc96265b41e661301102f3da4edae89338ee9c64dc57d32
- cc5a743b458bb098998693a73b6a13b9946d375c7c01ac6d37937871d6539102
- cebd50b3a72a314c935b426c0e6b30ec08e0e0cb53e474efffb66f0907309243
- d14df997bdf1e3fd3d18edf771376a666dd791dcac550c7dd8de0323823e1037
- e8c9452581830668941b3dca59896d339eb65cd8f21875b0e36261e5c093f7fe
- f805f22f668bd0414497ddc061e021c5b80b80c9702053d72fc809f19307073b
- fec09b614d67e8933e2c09671e042ce74b40048b5f0feed49ba81a2c18d4f473