Ботнетот C0XMO се шири преку ранливост во DD-WRT рутери и отстранува конкурентен малициозен софтвер

Нова варијанта на ботнетот Gafgyt, наречена C0XMO, ги таргетира рутерите со фирмвер DD-WRT и може да се прошири и на други типови уреди со различни процесорски архитектури.

Истражувачите пронашле примероци за ARM, MIPS, PowerPC, SuperH, x86, x86_64 и други архитектури, кои содржат експлоити за DVR уреди, рутери, платформи за управување со видео надзор и уреди базирани на Android.

Ботнетот бил забележан при напад врз јапонска технолошка компанија, но истражувачите откриле дека изворната IP адреса припаѓала на уред лоциран во Германија.

Истражувачите од Fortinet го открија C0XMO и ја истакнаа неговата модуларна архитектура, која им овозможува на операторите независно да ги ажурираат техниките за експлоатација, да додаваат или отстрануваат таргетирани архитектури и да ги прошируваат можностите за странично движење низ мрежата без промена на главниот товар (payload).

Во суштина, C0XMO останува малициозен софтвер наменет за изведување на дистрибуирани напади за одбивање на услуга (DDoS) и поддржува 19 различни методи, вклучувајќи UDP, TCP, SYN и ICMP поплави (floods), „ping of death“, NTP и Memcached засилувачки напади, Discord Voice UDP напади и напади специјално насочени кон Valve сервери.

Според истражувачите, малициозниот софтвер на ботнетот C0XMO се испорачува преку искористување на ранливоста CVE-2021-27137, која претставува buffer overflow предизвикан од недоволна проверка на корисничкиот внес. Ранливоста може да се искористи без автентикација и овозможува извршување на произволен код.

Gafgyt скенер

За поширока дистрибуција, C0XMO презема Python скрипта која инсталира дополнителни пакети како „requests“, „paramiko“ и „beautifulsoup4“. Овие пакети се потребни за мрежно скенирање, комуникација и активности преку SSH и Telnet протоколите.

Скенерот потоа користи повеќе работни нишки (worker threads) за случајно скенирање на интернет-достапни системи на вообичаени порти како 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888 и други.

Откако ќе пронајде цел, малициозниот софтвер се обидува да пробие слаби SSH и Telnet лозинки преку brute-force напади, ја идентификува процесорската архитектура на уредот и потоа инсталира соодветна верзија на C0XMO.

Скриптата содржи речиси дваесетина функции за различни задачи, вклучувајќи скенирање, експлоатација на HTTP и ADB ранливости, детекција на процесорската архитектура, SSH/Telnet најавување и проверка на IP адреси. Нејзината главна цел е странично ширење низ мрежата.

Откако ќе добие пристап до уредот, малициозниот софтвер се копира во скриени локации како „/tmp/.sys“, „/var/tmp/.sys“ и „/dev/shm/.sys“, а потоа создава cron задачи што автоматски го рестартираат на секои 15 минути. Дополнително, се менуваат стартните shell датотеки за да се овозможи автоматско извршување при стартување на системот.

Покрај тоа, C0XMO активно ги скенира активните процеси за да идентификува конкурентски ботнет клиенти на компромитираниот уред, како и алатки за red teaming, програмерски алатки и мрежни сервиси што би можеле да му пречат во работата, по што ги прекинува нивните процеси.

Тоа го прави со бришење на нивните бинарни датотеки и отстранување на механизмите за постојаност (persistence), вклучувајќи cron задачи, init скрипти, системски сервиси и записи во shell профилите.

По извршувањето на овие активности, C0XMO воспоставува врска со однапред вградена командно-контролна (C2) адреса користејќи сопствен повеќестепен механизам за ракување (handshake), кој вклучува специјални идентификациски низи (magic strings) и заеднички тајни клучеви. Потоа малициозниот софтвер чека дополнителни команди од операторите.

Поддржаните команди вклучуваат проверки на активноста на заразениот уред (heartbeat checks), започнување и прекинување на мрежно скенирање, како и изведување DDoS напади преку кој било од 19-те поддржани методи.

Општите препораки за заштита од C0XMO и други ботнет малициозни програми вклучуваат редовно ажурирање на уредите, користење уникатни администраторски кориснички имиња и лозинки, како и оневозможување на далечински пристап кога не е неопходен.

Fortinet го опишува C0XMO како малициозен софтвер со „значително понапредна архитектура и сет на функционалности во споредба со претходните IoT ботнети“.

Истражувачите истакнуваат дека целокупниот дизајн на малициозниот софтвер укажува на „повисоко ниво на оперативна софистицираност и сложеност отколку што е вообичаено кај типичниот Gafgyt малициозен софтвер“.

Извори:

• Bleeping Computer – C0XMO botnet spreads via DD-WRT router flaw, kills rival malware Bleeping Computer