ZHtrap Botnet
Hoewel de broncode van het beruchte Mirai-botnet in 2016 naar het publiek is gelekt, gebruiken cybercriminelen nog steeds stukjes en beetjes of halen ze er inspiratie uit. Een voorbeeld van dat laatste is het ZHtrap Botnet dat de onderzoekers van 360 Netlab ontdekten.
De malware kan een breed scala aan apparaten overnemen en deze assimileren in de structuur van het botnet. Het primaire doel van het botnet lijkt het uitvoeren van DDoS-aanvallen (gedistribueerde denial of service) -aanvallen, maar een backdoor-kanaal dat op de gecompromitteerde apparaten is gecreëerd, stelt de bedreigingsacteur ook in staat om extra malware-ladingen te laten vallen. De Command-and-Control-infrastructuur voor de campagne maakt gebruik van een server die wordt gehost op het TOR-netwerk en een TOR-proxy die het abnormale communicatieverkeer dat door het botnet wordt gegenereerd, maskeert.
Voor de distributie maakt ZHtrap gebruik van vier bekende kwetsbaarheden waarmee het routers, DVR's en UPnP-netwerkapparaten kan infecteren. Meer specifiek gaat ZHtrap achter Netgear DGN1000, MVPower DVR, Realtek SDK Miniigd UPnP SOAP-eindpunten en talloze CCTV-DVR-apparaten. Apparaten met zwakke Telnet-wachtwoorden worden ook aangevallen.
De malwarebedreiging zorgt ervoor dat dit de enige kwaadaardige payload is die op het specifieke apparaat wordt uitgevoerd via een witte lijst die alleen de processen bevat die al op het apparaat zijn gestart. Alle pogingen om aanvullende opdrachten uit te voeren, worden geblokkeerd.
Het aspect dat ZHtrap echter het meest onderscheidt van de meeste andere botnets, is het vermogen om gecompromitteerde apparaten in honeypots te veranderen. De term honeypot wordt op het gebied van cyberbeveiliging gebruikt om een tool aan te pakken die als lokaas fungeert voor malwareaanvallen door scans, codevoorbeelden en mogelijke exploits te verzamelen. ZHtrap gebruikt een vergelijkbare techniek, maar keert het doel ervan om. Het instrueert vastgelegde apparaten om naar een lijst met 23 poorten te luisteren. Alle IP-adressen die via deze poorten proberen verbinding te maken, worden als nieuwe potentiële doelen door de scanmodule van de malware geleid.
