Enemybot Botnet IOC

botnet IOC
Опубликовано

В середине марта специалисты FortiGuard Labs обнаружили новый DDoS-ботнет, называющий себя "Enemybot" и приписывающий себя Keksec, группе угроз, специализирующейся на криптомайнинге и DDoS-атаках.

Enemybot Botnet

Enemybot - это новейший инструмент компании Keksec для проведения DDoS-атак.

Эта бот-сеть в основном создана на основе исходного кода Gafgyt, но было замечено, что она заимствует несколько модулей из исходного кода Mirai. Он использует несколько методов обфускации для своих строк, чтобы затруднить анализ и скрыть себя от других ботнетов. Кроме того, он подключается к командно-контрольному серверу (C2), который скрыт в сети Tor, что усложняет его захват.
Enemybot был замечен в атаках на маршрутизаторы Seowon Intech, D-Link и использует недавно обнаруженную уязвимость маршрутизатора iRZ для заражения большего количества устройств.

Как и большинство ботнетов, эта вредоносная программа заражает несколько архитектур, чтобы увеличить свои шансы на заражение большего количества устройств. Помимо устройств IoT, Enemybot также нацелен на настольные/серверные архитектуры, такие как BSD, включая Darwin (macOS), и x64.

Enemybot обфусцирует строки различными способами:

  • C2-домен использует XOR-кодировку с многобайтовым ключом
  • Учетные данные для брутфорсинга SSH и ключевые слова бота используют кодировку в стиле Mirai, т.е. однобайтовое XOR-кодирование с 0x22
  • Команды шифруются с помощью подстановочного шифра, т.е. заменой одного символа на другой.
  • Некоторые строки кодируются простым прибавлением трех к числовому значению каждого символа.

Используемые уязвимости

  • CVE-2020-17456 - уязвимость, нацеленная на маршрутизаторы SEOWON INTECH SLC-130 и SLR-120S.
  • Уязвимость (CVE не присвоен) нацелена на маршрутизатор Seowon SLC-130. Это похоже на предыдущий эксплойт, только на этот раз команда может быть введена в уязвимый параметр queriesCnt. Реализация, вероятно, была основана на общедоступном коде эксплойта.
  • CVE-2018-10823 - это уязвимость старых маршрутизаторов D-Link, которая позволяет авторизованному пользователю выполнить вредоносную команду в параметре Sip на странице chkisg.htm
  • CVE-2022-27226 - это недавняя уязвимость в мобильных маршрутизаторах iRZ, которая была использована Enemybot вскоре после ее публикации 19 марта 2022 года. Фактически, это первый ботнет, нацеленный на устройства этого производителя.
  • CVE-2022-25075 - 25084: нацелен на маршрутизаторы TOTOLINK, ранее использовался ботнетом Beastmode
  • CVE-2021-44228/2021-45046: более известен как Log4j, более подробная информация доступна в нашем блоге Fortinet PSIRT
  • CVE-2021-41773/CVE-2021-42013: Нацелен на HTTP-серверы Apache
  • CVE-2018-20062: Нацелен на CMS ThinkPHP
  • CVE-2017-18368: Цели - маршрутизаторы Zyxel P660HN
  • CVE-2016-6277: Мишени маршрутизаторы NETGEAR
  • CVE-2015-2051: Цели - маршрутизаторы D-Link
  • CVE-2014-9118: нацелен на маршрутизаторы Zhone
  • Эксплойт NETGEAR DGN1000 (CVE не присвоен): Нацелен на маршрутизаторы NETGEAR

Indicators of Compromise

IPv4

  • 198.12.116.254

Domains

  • xfrvkmokgfb2pajafphw3upl6gq2uurde7de7iexw4aajvslnsmev5id.onion

URLs

  • http://198.12.116.254/folder/dnsamp.txt
  • http://198.12.116.254/folder/enemybotarm
  • http://198.12.116.254/folder/enemybotarm5
  • http://198.12.116.254/folder/enemybotarm64
  • http://198.12.116.254/folder/enemybotarm7
  • http://198.12.116.254/folder/enemybotbsd
  • http://198.12.116.254/folder/enemybotdarwin
  • http://198.12.116.254/folder/enemyboti586
  • http://198.12.116.254/folder/enemyboti686
  • http://198.12.116.254/folder/enemybotm68k
  • http://198.12.116.254/folder/enemybotmips
  • http://198.12.116.254/folder/enemybotmpsl
  • http://198.12.116.254/folder/enemybotppc
  • http://198.12.116.254/folder/enemybotppc-440fp
  • http://198.12.116.254/folder/enemybotsh4
  • http://198.12.116.254/folder/enemybotspc
  • http://198.12.116.254/folder/enemybotx64
  • http://198.12.116.254/folder/enemybotx86
  • http://198.12.116.254/update.sh

SHA256

  • 06f9083e8109685aecb2c35441932d757184f7749096c9e23aa7d8b7a6c080f8
  • 2e6305521d4ac770fc661658da6736d658eef384a9aa68bc49613d2be2d23a0d
  • 2ea62957b9dd8e95052d64a48626c0fa137f0fa9ca4fa53f7f1d8fe35aa38dc0
  • 2ec8016e5fb8375d0cc66bc81f21c2d3f22b785eb4f8e2a02b0b5254159696f5
  • 32faf178c5929510234f2d02aea39ca67ab893e18f60c1593f0c043153625e9d
  • 33d282c6bccf608d4fbf3a211879759019741c1b822c6cea56c6f479be598367
  • 373b43345a7e4a6b1d5a6d568a8f6a38906760ea761eacd51a11c164393e4bad
  • 4b2b4876ecc7d466eceb30ecbd79001af142b629200bbe61ebd45f4e63cd62ef
  • 5260b9a859d936c5b8e0dd81c0238de136d1159e41f0b148f86e2555cf4a4e38
  • 73e929575afc04758a23c027ebe4f60ab5c4ba0ab7fa8756b27ed71548302009
  • 80f264d7b45a52bd000165f3f3b0fdc0e405f3f128a60a9ec6f085bfba114971
  • 820703b9a28d4b46692b7bf61431dc81186a970c243182740d623817910051d1
  • 93706966361922b493d816fa6ee1347c90de49b6d59fc01c033abdd6549ac8b9
  • 9790f79da34a70e7fb2e07896a5ada662978473457ca5e2701bd1d1df0b9f10f
  • 980fb4731a70a472699fcbee1a16e76c78c1b36ab6430b94dbe2169f8ac21340
  • 9acf649b74f4aae43a2db90b8d39a7cd39bf6b82c995da7a1ffa6f23c3549b14
  • a7213ae906a008ad06020436db120a14568c41eae4335d6c76f2bbc33ee9fbcc
  • a799be50ad82e6338c9e0b33d38612e6ad171872407d5d7de36022adf9b8bf63
  • adb51a8d112590a6fdd02ac8d812b837bbe0fcdd762dba6bbba0bd0b538f9aef
  • b025a17de0ba05e3821444da8f8fc3d529707d6b311102db90d9f04c11577573
  • b56655c3c9eed7cd4bce98eeebdcead8daa75a33498ad4f287c753ecc9554aca
  • bf2f2eb08489552d46b8f50fb07073433f4af94e1215865c48d45f795f96342f
  • c01156693d1d75481dc96265b41e661301102f3da4edae89338ee9c64dc57d32
  • cc5a743b458bb098998693a73b6a13b9946d375c7c01ac6d37937871d6539102
  • cebd50b3a72a314c935b426c0e6b30ec08e0e0cb53e474efffb66f0907309243
  • d14df997bdf1e3fd3d18edf771376a666dd791dcac550c7dd8de0323823e1037
  • e8c9452581830668941b3dca59896d339eb65cd8f21875b0e36261e5c093f7fe
  • f805f22f668bd0414497ddc061e021c5b80b80c9702053d72fc809f19307073b
  • fec09b614d67e8933e2c09671e042ce74b40048b5f0feed49ba81a2c18d4f473
Похожие записи:
  1. Beastmode Botnet IOC
  2. Emotet Botnet IOCs
  3. BianLian (Hydra) Botnet IOCs
  4. RapperBot Botnet IOCs
  5. Mirai, RAR1Ransom, GuardMiner IOCs
Botnet Enemybot FortiGuard Labs
Добавить комментарий