Les informations d’identification SSH à forces brutes de botnet contre une liste d’adresses IP récoltées, au lieu de effectuer des analyses à l’échelle de l’Internet.
Les chercheurs en sécurité mettent en garde contre un nouveau botnet Linux, surnommé Pumabot, ciblant les dispositifs de surveillance de l’Internet des objets (IoT).
Selon une observation Darktrace, le botnet contourne le livre de jeu habituel de la numérisation à l’échelle de l’Internet et plutôt des forces brutesuses Secure Shell (SSH) Informations d’identification pour une liste de cibles qu’il reçoit d’un serveur de commande et de contrôle (C2).
« Les chercheurs Darktrace ont identifié un botnet Linux sur mesure ciblant les appareils Linux Internet of Things (IoT) », ont déclaré des chercheurs dans un article de blog. «Le botnet gagne un accès initial via des références SSH à forçage brute sur une liste d’adresses IP récoltées.»
En se concentrant sur les appareils de surveillance IoT, tels que les caméras IP et les enregistreurs vidéo réseau, le botnet exploite des équipements qui se trouvent généralement en dehors de la portée des mesures de sécurité rigoureuses.
Infiltration ciblée via la coordination C2
Pumabot se connecte à un serveur C2 désigné pour obtenir une liste organisée d’adresses IP avec des ports SSH ouverts. En utilisant ces listes, il tente de forces brutales SSH pour infiltrer les appareils, une technique qui l’aide à réduire la probabilité de détection par des mesures de sécurité traditionnelles qui recherchent le bruit d’une analyse à l’échelle de Internet.
Pour la campagne, Pumabot utilise un logiciel malveillant identifié par le nom de fichier Jierui qui initie l’opération en invoquant la fonction getIPS () pour recevoir la liste IP du serveur C2 (ssh.ddos-cc (.) Org). « Il effectue ensuite des tentatives de connexion à force brute sur le port 22 en utilisant des paires de diplômes également obtenues à partir du C2 via les fonctions ReadlinesFromurl (), Brute () et TryShLogin () », ont déclaré les chercheurs. Le port 22 est le port réseau par défaut utilisé par le protocole SSH.
À l’intérieur de sa routine TryShLogin (), le malware met une série de vérifications d’empreintes digitales de l’environnement pour esquiver des pots de miel et des coquilles restreintes. De plus, il recherche la chaîne «Pumatronix» – qui a probablement inspiré la dénomination de Pumabot -, un fabricant de systèmes de caméras de surveillance et de caméra de la circulation.
Exécuter des commandes distantes pour la persistance
Après avoir craqué un combo de nom d’utilisateur et de mot de passe de travail à partir de sa liste d’IPS récoltés, le botnet reçoit des commandes distantes et configure la persistance via des fichiers de service système.
Le logiciel malveillant profite de l’accès de shell pour exécuter une série de commandes tirées de son serveur C2. Ces commandes incluent des commandes d’informations système comme «Uname-A» qui récupèrent le nom du système d’exploitation, la version du noyau et l’architecture. D’autres incluent ceux émis pour modifier les fichiers système, comme le service SystemD, pour gagner de la persistance dans le système compromis.
« Le logiciel malveillant ajoute également ses propres clés SSH dans le fichier autorisé_keys des utilisateurs. Cela garantit que l’accès peut être maintenu, même si le service est supprimé », a déclaré les chercheurs.
Les cibles potentielles doivent resserrer les routines IoT
Les appareils ciblés, s’ils sont compromis, peuvent servir de points d’entrée pour une infiltration de réseau plus large ou pour des opérations de botnet plus importantes pour des activités telles que les attaques de déni de service distribuées (DDOS). Les organisations vulnérables incluent celles qui utilisent des dispositifs de surveillance IoT avec une hygiène SSH médiocre et des systèmes sectoriels industriels et publics.
Darktrace recommandait les actions pour se défendre contre de tels compromis comprennent la surveillance de l’activité de connexion SSH anormale, l’audit des services SystemD régulièrement, l’inspection des fichiers autorisés_keys sur les comptes d’utilisateurs et l’application de règles de pare-feu plus strictes pour limiter l’exposition à la SSH. De plus, les chercheurs ont partagé une liste d’indicateurs de compromis (IoT) pour que les équipes de sécurité pour définir des détections. La liste comprend des hachages, des clés RSA, des URL et des règles de détection.
