Av Charlie Osborne for Zero Day | 3. juni 2021 – 12:00 GMT (13:00 BST) | Emne: Sikkerhet
En nylig Necro Python bot-kampanje har vist at utvikleren bak skadelig programvare er hardt i arbeid med å øke kapasiteten.
Torsdag publiserte forskere fra Cisco Talos en rapport på Necro Python, en bot som har vært under utvikling siden 2015. Botnets utviklingsfremgang ble dokumentert i januar 2021 av både Check Point Research (CPR) og Netlab 360, spores separat som FreakOut og Necro.
Utvikleren bak Necro Python-bot har gjort en rekke endringer for å øke kraften og allsidigheten til bot, inkludert utnyttelse av over 10 forskjellige webapplikasjoner og SMB-protokollen som blir våpen i botens nylige kampanjer. Utnyttelser er inkludert for sårbarheter i programvare som VMWare vSphere, SCO OpenServer og Vesta Control Panel.
En versjon av botnet, utgitt 18. mai, inkluderer også utnyttelse for EternalBlue (CVE-2017-0144) og EternalRomance (CVE-2017-0147).
Boten vil først prøve å utnytte disse sårbarhetene på både Linux- og Windows-baserte operativsystemer. Hvis det lykkes, bruker skadelig programvare en JavaScript-nedlasting, Python-tolk og skript, og kjørbare filer som er opprettet med pyinstaller for å begynne å rope det kompromitterte systemet inn i botnet som en slave-maskin.
Necro Python oppretter deretter en forbindelse til en kommando-og-kontroll-server (C2) for å opprettholde kontakt med operatøren, motta kommandoer, for å exfiltrere data, eller for å distribuere ekstra skadelig nyttelast.
Et nytt tillegg til boten er en kryptovaluta-gruver, XMRig, som brukes til å generere Monero (XMR) ved å stjele den kompromitterte maskinens databehandlingsressurser.
“Boten injiserer også koden for å laste ned og utføre en JavaScript-basert miner fra en angriperstyrt server i HTML- og PHP-filer på infiserte systemer,” sier forskerne. “Hvis brukeren åpner det infiserte programmet, kjører en JavaScript-basert Monero-gruver i nettleserens prosessrom.”
Andre funksjoner inkluderer muligheten til å starte distribuerte denial-of-service (DDoS) -angrep, dataeksfiltrering og nettverkssnusing.
En brukermodus rootkit er også installert for å etablere utholdenhet ved å sikre at skadelig programvare starter når en bruker logger på, og for å skjule sin tilstedeværelse ved å begrave ondsinnede prosesser og registeroppføringer.
En annen oppgradering av notatet er Necro Pythons polymorfe evner. Ifølge forskerne har boten en modul som lar utviklere se koden slik den ville bli sett av en tolk før den ble kompilert til bytekode, og denne modulen er integrert i en motor som kan tillate endringer i kjøretid.
Motoren går hver gang boten startes, og den vil lese sin egen fil før den omdannes til koden, en teknikk som kan gjøre detektering av boten vanskeligere.
“Necro Python bot viser en skuespiller som følger den siste utviklingen innen utnyttelse av eksterne kommandoer på forskjellige webapplikasjoner og inkluderer de nye utnyttelsene i boten,” sier Talos. “Dette øker sjansene for å spre og infisere systemer. Brukere må sørge for å bruke de nyeste sikkerhetsoppdateringene regelmessig på alle applikasjonene, ikke bare operativsystemene.”
Tidligere og relatert dekning
Dette botnet misbruker Bitcoin-blokkjeder for å holde seg i skyggen – Nå jakter dette botnet på upatchede Microsoft Exchange-servere
Dette ransomware-spredende malware botnet har nettopp vunnet Ikke gå bort –
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Security TV Data Management CXO Data Centers 