Botnet NoaBot baseado em Mirai implanta criptominerador em servidores Linux

Início / Tecnologia da Informação / Botnet NoaBot baseado em Mirai implanta criptominerador em servidores Linux

Botnet NoaBot baseado em Mirai implanta criptominerador em servidores Linux

Uma nova botnet tem crescido lentamente no ano passado, forçando logins SSH e implantando malware de criptografia em servidores Linux. O principal cliente do bot é baseado no antigo worm Mirai, cujo código-fonte está disponível há anos, mas os pesquisadores também viram o mesmo grupo usar o worm P2PInfect mais moderno que explora instâncias do Redis.

Com base nos dados de telemetria dos honeypots da Akamai, o início da botnet remonta a janeiro de 2023, mas a botnet cresceu desde então, atingindo o pico de tamanho no mês passado. A Akamai registrou mais de 800 endereços IP exclusivos de todo o mundo que mostraram sinais de infecções por NoaBot, sendo 10% deles baseados na China.

“O método de movimento lateral do malware é através de ataques de dicionário de credenciais SSH simples e antigos”, disseram os pesquisadores da Akamai em um novo relatório. “Restringir o acesso SSH arbitrário da Internet à sua rede diminui muito os riscos de infecção. Além disso, usar senhas fortes (não padrão ou geradas aleatoriamente) também torna sua rede mais segura, já que o malware usa uma lista básica de senhas que podem ser adivinhadas.”

Leia também: Pesquisadores demonstram novas técnicas de ataque CI/CD na cadeia de suprimentos PyTorch

Scanner Mirai modificado para direcionar SSH

Mirai era originalmente um botnet DDoS autopropagado que apareceu em 2016 e foi projetado principalmente para infectar dispositivos de rede incorporados usando explorações de vulnerabilidades e ataques de dicionário Telnet. A botnet ganhou notoriedade por causar alguns dos maiores ataques DDoS observados na Internet até ser abandonada e seu código-fonte vazar online.

A base de código Mirai, que contém um módulo de varredura para propagação, um módulo de ataque e código de persistência que é usado para ocultar os processos do botnet, serviu de inspiração para muitos outros botnets de autopropagação do Linux nos últimos anos, alguns se concentraram em DDoS, outros em criptomineração e alguns em ambos.

Os criadores do NoaBot pegaram o código-fonte do Mirai, mas fizeram modificações significativas. Primeiro, eles substituíram o scanner Telnet por um scanner SSH. Isso faz sentido porque os dispositivos incorporados que ainda usam o antigo protocolo Telnet para depuração e gerenciamento de linha de comando não são um bom alvo para criptomineração devido aos seus recursos computacionais limitados. No entanto, os servidores Linux são um bom alvo e têm muito mais probabilidade de ter SSH habilitado.

No entanto, ataques de dicionário SSH – onde o invasor testará pares predefinidos de nomes de usuário e senhas – não são novidade e também são fáceis de defender seguindo as melhores práticas de segurança, como usar autenticação baseada em chave SSH e desabilitar a autenticação por senha. Isso significa que os servidores comprometidos pelo NoaBot são provavelmente frutos mais fáceis de alcançar do ponto de vista da segurança e não seria surpreendente se eles já estivessem infectados com outro malware.

O scanner NoaBot SSH tem uma assinatura clara porque quando uma conexão SSH é aceita por um endereço IP, o cliente botnet envia a mensagem “oi”. Este não é um comando SSH válido e não há razão prática para enviá-lo, portanto pode ser usado para criar uma assinatura de firewall.

Outras modificações feitas no NoaBot envolvem a mudança do compilador do GCC para o uClib para tornar seu código binário significativamente diferente do Mirai e, portanto, evitar assinaturas de detecção Mirai existentes e adicionar argumentos de linha de comando que permitem diferentes funcionalidades. Por exemplo, o bot pode adicionar uma chave controlada pelo invasor nas chaves autorizadas SSH para garantir a persistência mesmo se a autenticação baseada em senha estiver desabilitada, ele atua como um backdoor baixando e instalando binários adicionais e adiciona uma entrada crontab para garantir que seja iniciado após reinício.

O sinalizador de linha de comando para este mecanismo de persistência é chamado “noa”, inspirando o nome do botnet. No entanto, os pesquisadores encontraram assinaturas de detecção em mecanismos antivírus para o prefixo “noa-”, o que sugere que pode ser comum.

Leia também: Protegendo as redes do Windows: volte ao básico

Modificações do Cryptominer e conexão P2PInfect

O componente de criptografia é o XMRig, um programa de mineração de criptomoedas de código aberto e amplamente utilizado que tem usos legítimos, mas também é popular entre os invasores. De acordo com os pesquisadores da Akamai, os criadores do NoaBot também fizeram modificações avançadas no código XMRig para ocultar e criptografar sua configuração, principalmente o endereço IP que serve como pool de mineração onde os invasores coletam a criptomoeda gerada.

“Acreditamos que os atores da ameaça optaram por administrar seu próprio pool privado em vez de um público, eliminando assim a necessidade de especificar uma carteira (seu pool, suas regras!)”, disseram os pesquisadores. “No entanto, em nossas amostras, observamos que os domínios dos mineradores não estavam sendo resolvidos com o DNS do Google, então não podemos realmente provar nossa teoria ou coletar mais dados do pool, uma vez que os domínios que temos não são mais resolvíveis. Não vimos nenhum incidente recente que tenha derrubado o mineiro, então também pode ser que os atores da ameaça tenham decidido partir para pastagens mais verdes.”

Os pesquisadores têm quase certeza de que os mesmos autores também estão usando uma versão personalizada do P2PInfect, outro worm auto-replicante que apareceu em julho e está escrito em Rust. Algumas amostras do P2PInfect continham textos muito específicos e piadas internas que os criadores do NoaBot também usaram em seu código, como letras de músicas pop relacionadas ao jogo.

P2PInfect explora uma vulnerabilidade Lua para comprometer instâncias do Redis, um sistema de armazenamento na memória. No entanto, algumas variantes também incluem um scanner SSH. Não está claro por que esse grupo de invasores mudou do Mirai para o P2PInfect, que é uma criação ainda mais personalizada, ou se eles estão usando os dois em paralelo.

“Primeiro, o código personalizado é mais difícil de fazer engenharia reversa do que o código reaproveitado porque é modificado”, disseram os pesquisadores. “Em segundo lugar, os atores da ameaça parecem bastante experientes em tecnologia, então pode ser que estejam tentando desenvolver malware por curiosidade ou tédio (ou ambos). Finalmente, dado que o P2PInfect tem como alvo servidores Redis, poderia ser simplesmente um caso de ferramentas diferentes para finalidades diferentes.”

A equipe da Akamai publicou uma lista de indicadores de comprometimento em seu repositório GitHub junto com assinaturas de detecção YARA que podem ser usadas para encontrar binários NoaBot. É claro que restringir o acesso SSH apenas a conjuntos confiáveis ​​de endereços IP e usar autenticação baseada em chave também são altamente recomendados e fazem parte do fortalecimento SSH padrão.

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.