InfectedSlurs Botnet
Ang isang kamakailang natuklasang malware botnet, 'InfectedSlurs,' ay gumagamit ng dalawang zero-day na kahinaan para sa Remote Code Execution (RCE) upang ikompromiso ang mga router at video recorder (NVR) device. Kinokontrol ng nagbabantang software na ito ang mga nahawaang device, na isinasama ang mga ito sa isang kuyog ng DDoS (Distributed Denial of Service), na malamang na inupahan para sa pinansyal na kita. Iminumungkahi ng mga analyst na ang mga pinakaunang senyales ng aktibidad ng botnet ay babalik sa huling bahagi ng 2022, ngunit una itong natuklasan noong Oktubre 2023.
Nagawa ng InfectedSlurs Botnet na Manatili sa ilalim ng Radar
Natuklasan ng mga analyst ang kahina-hinalang gawi na kinasasangkutan ng mga low-frequency na probe na sumusubok sa pagpapatotoo sa pamamagitan ng mga kahilingan sa POST, na sinusundan ng isang command injection endeavor. Gamit ang available na data, nagsagawa ang mga mananaliksik ng komprehensibong pag-scan sa Internet at natukoy na ang mga apektadong device ay nauugnay sa isang partikular na manufacturer ng NVR. Ang kanilang mga natuklasan ay nagpahiwatig na ang botnet ay nagsasamantala sa isang hindi naiulat na remote code execution (RCE) na kahinaan upang makakuha ng hindi awtorisadong pagpasok sa device.
Sa mas malapit na pagsisiyasat, nalaman na sinasamantala ng malware ang mga default na kredensyal na makikita sa mga manual ng vendor para sa iba't ibang produkto ng NVR. Ginagamit nito ang mga kredensyal na ito para mag-install ng bot client at magsagawa ng iba pang malisyosong pagkilos. Sa karagdagang pagsisiyasat, natuklasan na ang botnet ay nagta-target din ng malawakang ginagamit na wireless LAN router, na sikat sa mga user sa bahay at hotel. Ang router na ito ay madaling kapitan sa isa pang zero-day RCE flaw na pinagsamantalahan ng malware para sa mga aktibidad nito.
Ang InfectedSlurs ay Nagpapakita ng Kaunting Pagpapabuti Higit sa Mirai
Ang natukoy na malware, na tinawag na 'InfectedSlurs' ng mga mananaliksik, ay nakuha ang pangalan nito mula sa paggamit ng nakakasakit na wika na nasa Command-and-Control (C2, C&C) na mga domain at hardcoded string. Ang imprastraktura ng C2, na tila nagpapadali sa mga operasyon ng hailBot, ay nagpapakita ng isang kapansin-pansing konsentrasyon. Ang banta na ito ay kinilala bilang isang variant ng JenX Mirai. Bukod pa rito, natuklasan ng isang pagsisiyasat ang isang Telegram account na nauugnay sa cluster, bagama't ang account ay tinanggal na.
Ang user sa likod ng account ay nagbahagi ng mga screenshot na nagpapakita ng malapit sa sampung libong bot gamit ang Telnet protocol at karagdagang 12,000 bot na nagta-target ng mga partikular na uri/brand ng device gaya ng 'Vacron,' 'ntel,' at 'UTT-Bots.'
Sa pagsusuri, natukoy ang kaunting mga pagbabago sa code kumpara sa orihinal na Mirai Botnet , na nagsasaad na ang InfectedSlurs ay gumagana bilang isang self-propagating DDoS tool. Sinusuportahan nito ang mga pag-atake na gumagamit ng SYN, UDP at HTTP GET na kahilingan sa pagbaha.
Katulad ng Mirai, ang InfectedSlurs ay walang mekanismo ng pagtitiyaga. Dahil walang available na patch para sa mga apektadong device, ang pansamantalang pagkagambala sa botnet ay maaaring makamit sa pamamagitan ng pag-reboot ng mga NVR at router device.
