Af Charlie Osborne til Zero Day | 3. juni 2021 – 12:00 GMT (13:00 BST) | Emne: Sikkerhed
En nylig Necro Python bot-kampagne har vist, at udvikleren bag malware er hårdt på arbejdet med at styrke sine muligheder.
Torsdag offentliggjorde forskere fra Cisco Talos en rapport på Necro Python, en bot, der har været under udvikling siden 2015. Botnets udviklingsfremskridt blev dokumenteret i januar 2021 af både Check Point Research (CPR) og Netlab 360, spores separat som FreakOut og Necro.
Udvikleren bag Necro Python-bot har foretaget en række ændringer for at øge kraften og alsidigheden af bot, herunder udnyttelser til over 10 forskellige webapplikationer og SMB-protokollen, der bliver bevæbnet i botens seneste kampagner. Eksploater er inkluderet i sårbarheder i software som VMWare vSphere, SCO OpenServer og Vesta Control Panel.
En version af botnet, der blev udgivet den 18. maj, inkluderer også exploits til EternalBlue (CVE-2017-0144) og EternalRomance (CVE-2017-0147).
Bot vil først forsøge at udnytte disse sårbarheder på både Linux- og Windows-baserede operativsystemer. Hvis det lykkes, bruger malware en JavaScript-downloader, Python-tolk og scripts og eksekverbare filer oprettet med pyinstaller for at begynde at rope det kompromitterede system ind i botnet som en slave-maskine.
Necro Python opretter derefter en forbindelse til en command-and-control (C2) -server for at opretholde kontakt med sin operatør, modtage kommandoer, for at exfiltrere data eller for at implementere yderligere malware-nyttelast.
En ny tilføjelse til boten er en kryptovaluta-minearbejder, XMRig, der bruges til at generere Monero (XMR) ved at stjæle den kompromitterede maskins computerressourcer.
“Boten injicerer også koden for at downloade og udføre en JavaScript-baseret minearbejder fra en angriberstyret server i HTML- og PHP-filer på inficerede systemer,” siger forskerne. “Hvis brugeren åbner den inficerede applikation, kører en JavaScript-baseret Monero-miner i deres browsers procesrum.”
Andre funktioner inkluderer muligheden for at starte distribueret denial-of-service (DDoS) angreb, dataeksfiltrering og netværkssniffing.
En rootkit til brugertilstand er også installeret for at etablere vedholdenhed ved at sikre, at malware startes, når en bruger logger ind og skjule sin tilstedeværelse ved at begrave ondsindede processer og registreringsdatabaseindgange.
En anden opgradering af note er Necro Pythons polymorfe evner. Ifølge forskerne har boten et modul, der gør det muligt for udviklere at se kode, som det ville blive set af en tolk, før de blev kompileret til bytecode, og dette modul er integreret i en motor, der kan tillade runtime-ændringer.
Motoren kører hver gang boten startes, og den læser sin egen fil, før den ændrer koden, en teknik der kan gøre detektering af bot vanskeligere.
“Necro Python bot viser en skuespiller, der følger den seneste udvikling inden for udførelse af fjernkommandoudnyttelse på forskellige webapplikationer og inkluderer de nye udnyttelser i boten,” siger Talos. “Dette øger dets chancer for at sprede og inficere systemer. Brugere skal sørge for regelmæssigt at anvende de nyeste sikkerhedsopdateringer på alle applikationer, ikke kun operativsystemer.”
Tidligere og relateret dækning
Dette botnet misbruger Bitcoin-blockchains for at forblive i skyggen – Nu er dette botnet på jagt efter upatchede Microsoft Exchange-servere
Denne ransomware-spredende malware botnet har lige vundet går ikke væk
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499, eller derover ved Keybase: charlie0
Relaterede emner:
Sikkerhed TV-datastyring CXO-datacentre 