InfectedSlurs Botnet

Botnet perisian hasad yang ditemui baru-baru ini, 'InfectedSlurs,' memanfaatkan dua kelemahan sifar hari untuk Pelaksanaan Kod Jauh (RCE) untuk menjejaskan penghala dan peranti perakam video (NVR). Perisian yang mengancam ini mengawal peranti yang dijangkiti, menggabungkannya ke dalam kumpulan DDoS (Distributed Denial of Service), yang mungkin disewakan untuk keuntungan kewangan. Penganalisis mencadangkan bahawa tanda-tanda aktiviti terawal botnet dikesan kembali ke akhir 2022, tetapi ia mula ditemui pada Oktober 2023.

Botnet InfectedSlurs Telah Berjaya Kekal Di Bawah Radar

Penganalisis mengesan tingkah laku mencurigakan yang melibatkan probe frekuensi rendah yang mencuba pengesahan melalui permintaan POST, diikuti dengan usaha suntikan arahan. Dengan menggunakan data yang tersedia, penyelidik menjalankan imbasan menyeluruh merentas Internet dan mengenal pasti bahawa peranti yang terjejas dikaitkan dengan pengeluar NVR tertentu. Penemuan mereka menunjukkan bahawa botnet mengeksploitasi kelemahan pelaksanaan kod jauh (RCE) yang tidak dilaporkan untuk mendapatkan kemasukan tanpa kebenaran ke peranti.

Setelah diperiksa lebih dekat, didapati bahawa perisian hasad mengambil kesempatan daripada kelayakan lalai yang terdapat dalam manual vendor untuk pelbagai produk NVR. Ia menggunakan kelayakan ini untuk memasang klien bot dan menjalankan tindakan berniat jahat yang lain. Menyelidiki lebih lanjut dalam penyiasatan, didapati bahawa botnet juga menyasarkan penghala LAN wayarles yang digunakan secara meluas, popular di kalangan pengguna rumah dan hotel. Penghala ini terdedah kepada satu lagi kecacatan RCE sifar hari yang dieksploitasi oleh perisian hasad untuk aktivitinya.

InfectedSlurs Menunjukkan Sedikit Penambahbaikan Terhadap Mirai

Perisian hasad yang dikenal pasti, yang digelar 'InfectedSlurs' oleh penyelidik, memperoleh namanya daripada penggunaan bahasa yang menyinggung perasaan yang terdapat dalam domain Perintah-dan-Kawalan (C2, C&C) dan rentetan berkod keras. Infrastruktur C2, yang juga nampaknya memudahkan operasi hailBot, memaparkan kepekatan yang ketara. Ancaman ini dikenal pasti sebagai varian JenX Mirai. Selain itu, siasatan telah menemui akaun Telegram yang dikaitkan dengan kluster, walaupun akaun itu telah dipadamkan.

Pengguna di belakang akaun berkongsi tangkapan skrin yang mendedahkan hampir sepuluh ribu bot menggunakan protokol Telnet dan 12,000 bot tambahan yang menyasarkan jenis/jenama peranti tertentu seperti 'Vacron,' 'ntel,' dan 'UTT-Bots.'

Selepas analisis, pengubahsuaian kod minimum dikenal pasti berbanding Mirai Botnet yang asal, menunjukkan bahawa InfectedSlurs beroperasi sebagai alat DDoS yang menyebarkan sendiri. Ia menyokong serangan yang menggunakan banjir permintaan SYN, UDP dan HTTP GET.

Sama seperti Mirai, InfectedSlurs tidak mempunyai mekanisme kegigihan. Memandangkan tiada tampung tersedia untuk peranti yang terjejas, mengganggu botnet buat sementara waktu boleh dicapai dengan but semula peranti NVR dan penghala.