🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
- Intezer descobriu um novo botnet de origem chinesa que tem como alvo servidores e dispositivos de IoT por meio de força bruta SSH.
- Ao contrário das botnets comuns que usam implantes de ferramentas populares de código aberto ou da dark web, a Kaiji usa implantes personalizados.
- Ele foi construído do zero na linguagem de programação Golang, o que é incomum em botnets de IoT.
- Embora simples, o Kaiji tem os recursos para lançar:
- Vários ataques de DDoS, como ataques ipspoof e synack
- Um módulo SSH bruteforcer para continuar a propagação
- Um propagador SSH que sequestra as chaves SSH locais para infectar os hosts aos quais o servidor se conectou anteriormente.
Infecção inicial
- O Kaiji se espalha por meio de força bruta SSH, visando usuários root.
- Como ele requer a capacidade de criação de pacotes, que só pode ser executado por meio de um usuário root, ele é direcionado apenas ao usuário raiz.
Execução
- Depois de estabelecer uma conexão SSH, ele executa um script bash para configurar o ambiente para o malware.
- Em seguida, um diretório /usr/bin/lib é criado.
- E o malware é instalado com o nome de arquivo 'netstat', 'ps', 'ls' ou algum outro nome de ferramenta do sistema.
- Depois de executado, o Kaiji é copiado para /tmp/seeintlog e inicia uma segunda instância que inicia suas operações. As operações dos implantes consistem em 13 goroutines centrais.
- A rotina DoLink descriptografa o endereço C2 e registra o servidor infectado em um servidor de comando.
- Em seguida, ele lança as goroutines doTask e RotKit.
- A rotina Main_doTask busca comandos do C2, incluindo:
- Instruções de DDoS
- Instruções de força bruta SSH, incluindo intervalo de host e uma senha para tentar fazer login
- Execute o comando shell
- Substitua os servidores C2
- Exclua a si mesmo e remova toda a persistência
- Para realizar um ataque DDoS, ele recupera uma técnica de ataque e um alvo, incluindo:
- Duas implementações de TCPFlood (uma com soquetes brutos)
- Duas implementações do UDPFlood (uma com soquetes brutos)
- Ataque IPspoof
- Ataque SYNACK
- Ataque SYN
- Ataque ACK
- A rotina DDOS_Rotkit tenta se conectar a hosts conhecidos por meio de chaves SSH RSA ou IPs encontrados no histórico do bash.
Persistência
O malware instala persistência por meio dos serviços rc.d e Systemd:
- main_runghost: Instala a persistência por meio de /etc/profile.d (/etc/profile.d/linux.sh)
- main_rundingshi: Instala a persistência por meio do crontab
- main_runganran: Backdoor para o script de inicialização SSH /etc/init.d/ssh chamar o rootkit na inicialização
- main_runshouhu: copia o rootkit para /etc/32679 e o executa a cada 30 segundos.
- main_runkaiji: instala mais arquivos init.d de persistência, por exemplo: /etc/init.d/boot.local
- ddos_rdemokill: verifica periodicamente a CPU e a elimina se estiver acima de 85%.
Indicadores de compromisso
- 4e8d4338cd3b20cb027a8daf108c654c10843e549c3f3da6646ac2bb8ffbe24d
- 9198853b8713560503a4b76d9b854722183a94f6e9b2a46c06cd2865ced329f7
- 98aee62701d3a8a75aa19028437bc2d1156eb9bfc08661c25db5c2e26e364dca
- 0ed0a9b9ce741934f8c7368cdf3499b2b60d866f7cc7669f65d0783f3d7e98f7
- F4a64ab3ffc0b4a94fd07a55565f24915b7a1aaec58454df5e47d8f8a2eec22a
- 9f090a241eec74a69e06a5ffed876c7a37a2ff31e171924673b6bb5f1552814c
- 370efd28a8c7ca50275957b47774d753aabb6d7c504f0b81a90c7f96c591ae97
- 357acbacdb9069b8484f4fdead1aa946e2eb4a505583058f91f40903569fe3f3
- cu.versiondat [.] xyz
- 1. versão day [.] xyz
- www.aresboot [.] xyz
- www.6×66 [.] com
- www.2s11 [.] com
