Zerobot поражает различные устройства, включая межсетевые экраны, маршрутизаторы и камеры, добавляя скомпрометированные устройства в распределенную бот-сеть отказа в обслуживании (DDoS). Используя несколько модулей, вредоносная программа может заражать уязвимые устройства, построенные на различных архитектурах и операционных системах, находить дополнительные устройства для заражения, достигать стойкости и атаковать ряд протоколов.
Zerobot Botnet
Последний дистрибутив Zerobot включает дополнительные возможности, такие как использование уязвимостей в Apache и Apache Spark (CVE-2021-42013 и CVE-2022-33891 соответственно), а также новые возможности DDoS-атак.
IoT-устройства часто выходят в Интернет, в результате чего непропатченные и ненадлежащим образом защищенные устройства становятся уязвимыми для эксплуатации субъектами угроз. Zerobot способен распространяться путем атак методом грубой силы на уязвимые устройства с небезопасной конфигурацией, использующие стандартные или слабые учетные данные. Вредоносная программа может пытаться получить доступ к устройству, используя комбинацию из восьми распространенных имен пользователей и 130 паролей для IoT-устройств через SSH и telnet на портах 23 и 2323 для распространения на устройства. Исследователи Microsoft выявили многочисленные попытки подключения по SSH и telnet на стандартных портах 22 и 23, а также попытки открыть порты и подключиться к ним путем port-knocking на портах 80, 8080, 8888 и 2323.
Помимо попыток грубой силы на устройствах, Zerobot использует десятки уязвимостей, которые операторы вредоносного ПО добавляют на постоянной основе для получения доступа и внедрения вредоносной полезной нагрузки. Zerobot 1.1 включает в себя несколько новых уязвимостей, таких как:
CVE-2017-17105 | Zivif PR115-204-P-RS |
CVE-2019-10655 | Grandstream |
CVE-2020-25223 | WebAdmin of Sophos SG UTM |
CVE-2021-42013 | Apache |
CVE-2022-31137 | Roxy-WI |
CVE-2022-33891 | Apache Spark |
ZSL-2022-5717 | MiniDVBLinux |
С момента выпуска Zerobot 1.1 операторы вредоносного ПО удалили CVE-2018-12613, уязвимость phpMyAdmin, которая могла позволить субъектам угроз просматривать или исполнять файлы. Исследователи Microsoft также обнаружили, что в предыдущих отчетах идентификатор уязвимости "ZERO-32906" использовался для CVE-2018-20057, "GPON" для CVE-2018-10561 и "DLINK" для CVE-2016-20017; CVE-2020-7209 был ошибочно обозначен как CVE-2017-17106, а CVE-2022-42013 - как CVE-2021-42013.
Исследователи Microsoft также обнаружили новые доказательства того, что Zerobot распространяется путем компрометации устройств с известными уязвимостями, не включенными в бинарный файл вредоносной программы, например, CVE-2022-30023, уязвимость введения команд в маршрутизаторах Tenda GPON AC1200.
Получив доступ к устройству, Zerobot внедряет вредоносную полезную нагрузку, которая может представлять собой общий сценарий zero.sh, загружающий и пытающийся выполнить Zerobot, или сценарий, загружающий двоичный файл Zerobot определенной архитектуры. Скрипт bash, который пытается загрузить различные двоичные файлы Zerobot, пытается определить архитектуру методом перебора, пытаясь загрузить и выполнить двоичные файлы различных архитектур, пока не добьется успеха, поскольку устройства IoT основаны на множестве компьютерных процессоров (CPU). Microsoft наблюдала сценарии, нацеленные на различные архитектуры, включая ARM64, MIPS и x86_64.
В зависимости от операционной системы устройства, вредоносная программа имеет различные механизмы сохранения. Тактика персистенции используется операторами вредоносного ПО для получения и сохранения доступа к устройствам. Хотя Zerobot не способен распространяться на машины под управлением Windows, мы обнаружили несколько образцов, которые могут работать под Windows. На машинах Windows вредоносная программа копирует себя в папку Startup с именем файла FireWall.exe (в старых версиях используется my.exe). Microsoft Defender for Endpoint обнаруживает эту вредоносную программу и связанную с ней вредоносную активность на устройствах Windows и Linux. Подробности обнаружения см. ниже.
В дополнение к функциям и атакам, включенным в предыдущие версии вредоносной программы, Zerobot 1.1 обладает дополнительными возможностями DDoS-атак. Эти функции позволяют субъектам угроз атаковать ресурсы и делать их недоступными. Успешные DDoS-атаки могут использоваться злоумышленниками для вымогательства выкупа, отвлечения внимания от других вредоносных действий или нарушения работы. Практически в каждой атаке порт назначения настраивается, и субъекты угроз, приобретающие вредоносное ПО, могут модифицировать атаку в соответствии со своей целью.
Zerobot Botnet IOCs
Indicators of Compromise
IPv4
- 176.65.137.5
- 176.65.137.6
IPv4 Port Combinations
- 176.65.137.5:1401
Domains
- zero.sudolite.ml
URLs
- http://176.65.137.5:8000/ws
- ws://176.65.137.5/handle
SHA256
- 05b7517cb05fe1124dd0fad4e85ddf0fe65766a4c6c9986806ae98a427544e9d
- 0a5eebf19ccfe92a2216c492d6929f9cac72ef37089390572d4e21d0932972c8
- 0ce7bc2b72286f236c570b1eb1c1eacf01c383c23ad76fd8ca51b8bc123be340
- 0f0ba8cc3e46fff0eef68ab5f8d3010241e2eea7ee795e161f05d32a0bf13553
- 13657b64a2ac62f9d68aeb75737cca8f2ab9f21e4c38ce04542b177cb3a85521
- 1e66ee40129deccdb6838c2f662ce33147ad36b1e942ea748504be14bb1ee0ef
- 1e7ca210ff7bedeefadb15a9ec5ea68ad9022d0c6f41c4e548ec2e5927026ba4
- 26e68684f5b76d9016d4f02b8255ff52d1b344416ffc19a2f5c793ff1c2fdc65
- 29eface0054da4cd91c72a0b2d3cda61a02831b4c273e946d7e106254a6225a7
- 343c9ca3787bf763a70ed892dfa139ba69141b61c561c128084b22c16829c5af
- 3685d000f6a884ca06f66a3e47340e18ff36c16b1badb80143f99f10b8a33768
- 45059f26e32da95f4bb5dababae969e7fceb462cdeadf7d141c39514636b905a
- 4a4cb8516629c781d5557177d48172f4a7443ca1f826ea2e1aa6132e738e6db2
- 539640a482aaee2fe743502dc59043f11aa8728ce0586c800193e30806b2d0e5
- 54d1daf58ecd4d8314b791a79eda2258a69d7c69a5642b7f5e15f2210958bdce
- 5625d41f239e2827eb05bfafde267109549894f0523452f7a306b53b90e847f2
- 57f83ca864a2010d8d5376c68dc103405330971ade26ac920d6c6a12ea728d3d
- 62f23fea8052085d153ac7b26dcf0a15fad0c27621f543cf910e37f8bf822e0e
- 62f9eae8a87f64424df90c87dd34401fe7724c87a394d1ba842576835ab48afc
- 65232e30bb8459961a6ab2e9af499795941c3d06fdd451bdb83206a00b1b2b88
- 66c76cfc64b7a5a06b6a26976c88e24e0518be3554b5ae9e3475c763b8121792
- 6c59af3ed1a616c238ee727f6ed59e962db70bc5a418b20b24909867eb00a9d6
- 77dd28a11e3e4260b9a9b60d58cb6aaaf2147da28015508afbaeda84c1acfe70
- 788e15fd87c45d38629e3e715b0cb93e55944f7c4d59da2e480ffadb6b981571
- 7bfd0054aeb8332de290c01f38b4b3c6f0826cf63eef99ddcd1a593f789929d6
- 8176991f355db10b32b7562d1d4f7758a23c7e49ed83984b86930b94ccc46ab3
- 869f4fb3f185b2d1231d9378273271ddfeebb53085daede89989f9cc8d364f5f
- 874b0691378091a30d1b06f2e9756fc7326d289b03406023640c978ff7c87712
- 8aa89a428391683163f0074a8477d554d6c54cab1725909c52c41db2942ac60f
- 95e4cc13f8388c195a1220cd44d26fcb2e10b7b8bfc3d69efbc51beb46176ff1
- aed95a8f5822e9b1cd1239abbad29d3c202567afafcf00f85a65df4a365bedbb
- bdfd89bdf6bc2de5655c3fe5f6f4435ec4ad37262e3cc72d8cb5204e1273ccd6
- bf582b5d470106521a8e7167a5732f7e3a4330d604de969eb8461cbbbbdd9b9a
- c304a9156a032fd451bff49d75b0e9334895604549ab6efaab046c5c6461c8b3
- cacb77006b0188d042ce95e0b4d46f88828694f3bf4396e61ae7c24c2381c9bf
- cdc28e7682f9951cbe2e55dad8bc2015c1591f89310d8548c0b7a1c65dbefae3
- cf232e7d39094c9ba04b9713f48b443e9d136179add674d62f16371bf40cf8c8
- e3dd20829a34caab7f1285b730e2bb0c84c90ac1027bd8e9090da2561a61ab17
- e4840c5ac2c2c2170d00feadb5489c91c2943b2aa13bbec00dbcffc4ba8dcc2d
- eb33c98add35f6717a3afb0ab2f9c0ee30c6f4e0576046be9bf4fbf9c5369f71
- ef28ee3301e97eefd2568a3cb4b0f737c5f31983710c75b70d960757f2def74e
- fd65bd8ce671a352177742616b5facc77194cccec7555a2f90ff61bad4a7a0f6