ZHtrap Botnet

Selvom kildekoden for det berygtede Mirai botnet blev lækket for offentligheden helt tilbage i 2016, bruger cyberkriminelle stadig enten bits og stykker eller tager inspiration fra det. Et eksempel på sidstnævnte er ZHtrap Botnet opdaget af forskerne på 360 Netlab.

Malware kan overtage en lang række enheder og assimilere dem i strukturen af botnet. Det primære formål med botnet ser ud til at udføre DDoS-angreb (distribueret denial of service) -angreb, men en bagdørkanal oprettet på de kompromitterede enheder tillader også trusselsaktøren at droppe yderligere malware-nyttelast. Command-and-Control-infrastrukturen til kampagnen anvender en server hostet på TOR-netværket og en TOR-proxy, der maskerer den unormale kommunikationstrafik, der genereres af botnet.

Til sin distribution udnytter ZHtrap fire kendte sårbarheder, der gør det muligt at inficere routere, DVR'er og UPnP-netværksenheder. Mere specifikt går ZHtrap efter Netgear DGN1000, MVPower DVR, Realtek SDK Miniigd UPnP SOAP-endepunkter og adskillige CCTV-DVR-enheder. Enheder med svage Telnet-adgangskoder vil også blive angrebet.

Malwaretruslen vil sikre, at det er den eneste ondsindede nyttelast, der kører på den specifikke enhed via en hvidliste, der kun inkluderer de processer, der allerede er startet på enheden. Alle forsøg på at køre yderligere kommandoer vil blive blokeret.

Imidlertid er det aspekt, der adskiller ZHtrap mest fra de fleste andre botnets, dets evne til at gøre kompromitterede enheder til honningpotter. Udtrykket honningpotte bruges i cybersikkerhedsfeltet til at adressere et værktøj, der fungerer som lokkemad for malwareangreb ved at indsamle scanninger, kodeeksempler og potentielle udnyttelser. ZHtrap bruger en lignende teknik, men vender sit formål. Det instruerer fangede enheder om at begynde at lytte til en liste med 23 porte. Alle IP-adresser, der forsøger at oprette forbindelse via disse porte, vil blive tilført gennem malwareens scanningsmodul som nye potentielle mål.