Eine kürzlich durchgeführte Necro-Python-Bot-Kampagne hat gezeigt, dass die Entwickler der Malware hart daran arbeiten, ihre Fähigkeiten zu verbessern.
Am Donnerstag veröffentlichten Forscher von Cisco Talos einen Bericht on Necro Python, einem Bot, der sich seit 2015 in der Entwicklung befindet. Der Entwicklungsfortschritt des Botnets wurde im Januar 2021 sowohl von Check Point Research (CPR) als auch von Netlab 360 dokumentiert, getrennt als FreakOut und Necro.
Der Entwickler hinter dem Necro Python-Bot hat eine Reihe von Änderungen vorgenommen, um die Leistung und Vielseitigkeit des Bots zu erhöhen, darunter Exploits für über 10 verschiedene Webanwendungen und das SMB-Protokoll, die in den jüngsten Kampagnen des Bots als Waffe eingesetzt werden. Exploits sind für Schwachstellen in Software wie VMWare vSphere, SCO OpenServer und dem Vesta Control Panel enthalten.
Eine am 18. Mai veröffentlichte Version des Botnets enthält auch Exploits für EternalBlue (CVE-2017-0144) und EternalRomance (CVE-2017-0147).
Der Bot wird zunächst versuchen, diese Schwachstellen sowohl auf Linux- als auch auf Windows-basierten Betriebssystemen auszunutzen. Im Erfolgsfall verwendet die Malware einen JavaScript-Downloader, einen Python-Interpreter und Skripte sowie ausführbare Dateien, die mit pyinstaller erstellt wurden, um das kompromittierte System als Slave-Rechner in das Botnet einzubinden.
Necro Python stellt dann eine Verbindung zu einem Command-and-Control-Server (C2) her, um den Kontakt mit seinem Operator aufrechtzuerhalten, Befehle zu empfangen, Daten zu exfiltrieren oder zusätzliche Malware-Nutzlasten bereitzustellen.
Eine neue Ergänzung des Bots ist ein Kryptowährungs-Miner, XMRig, der verwendet wird, um Monero (XMR) zu generieren, indem die Computerressourcen der kompromittierten Maschine gestohlen werden.
“Der Bot injiziert auch den Code zum Herunterladen und Ausführen eines JavaScript-basierten Miners von einem von einem Angreifer kontrollierten Server in HTML- und PHP-Dateien auf infizierten Systemen”, sagen die Forscher. “Wenn der Benutzer die infizierte Anwendung öffnet, wird ein JavaScript-basierter Monero-Miner im Prozessraum seines Browsers ausgeführt.”
Zu den weiteren Funktionen gehören die Möglichkeit, verteilte Denial-of-Service (DDoS)-Angriffe, Datenexfiltration und Netzwerk-Sniffing zu starten.
Ein Rootkit im Benutzermodus wird ebenfalls installiert, um Persistenz herzustellen, indem sichergestellt wird, dass die Malware immer dann gestartet wird, wenn sich ein Benutzer anmeldet, und um ihre Anwesenheit zu verbergen, indem bösartige Prozesse und Registrierungseinträge verborgen werden.
Ein weiteres bemerkenswertes Upgrade sind die polymorphen Fähigkeiten von Necro Python. Laut den Forschern verfügt der Bot über ein Modul, mit dem Entwickler Code so anzeigen können, wie er von einem Interpreter vor der Kompilierung in Bytecode gesehen würde, und dieses Modul wurde in eine Engine integriert, die Laufzeitänderungen ermöglichen könnte.
Die Engine wird jedes Mal ausgeführt, wenn der Bot gestartet wird, und liest ihre eigene Datei, bevor sie den Code verändert, eine Technik, die die Bot-Erkennung erschweren kann.
„Der Python-Bot von Necro zeigt einen Akteur, der die neuesten Entwicklungen bei Exploits zur Remote-Befehlsausführung in verschiedenen Webanwendungen verfolgt und die neuen Exploits in den Bot integriert“, sagt Talos. “Dies erhöht die Wahrscheinlichkeit einer Verbreitung und Infektion von Systemen. Benutzer müssen sicherstellen, dass sie regelmäßig die neuesten Sicherheitsupdates für alle Anwendungen, nicht nur für Betriebssysteme, installieren.”
Frühere und verwandte Berichterstattung
Dieses Botnet missbraucht Bitcoin-Blockchains, um im Schatten zu bleiben
Jetzt jagt dieses Botnet nach ungepatchten Microsoft Exchange-Servern
Dieses Ransomware verbreitende Malware-Botnet hat gerade gewonnen geh nicht weg
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Sicherheit TV-Datenverwaltung CXO-Rechenzentren 