Erkennung des EnemyBot-Malware: IoT-Botnetz nutzt mehr Schwachstellen aus
Inhaltsverzeichnis:
Keksec, auch bekannt als Nero und Freakout, der Bedrohungsakteur hinter dem fortschrittlichen EnemyBot-Botnetz, erweitert seine Reichweite, indem er mehr Exploits nutzt und mehrere Organisationen unabhängig von ihrer Branchen vertikal kompromittiert. Die EnemyBot-Malware-Autoren haben das Beste übernommen und den veralteten Code hinter sich gelassen, der in anderen Botnetzen wie Gafgyt, Qbot, oder Mirai.
Das Botnetz wird derzeit verwendet, um Sicherheitslücken in Produkten solcher Anbieter wie VMware, D-Link, Adobe, Zyxel, und WordPressauszunutzen, sowie Schwachstellen in Web- und CMS-Servern sowie Android- und IoT-Gerätenauszunutzen. Angreifer nutzen die Schwachstellen, um sich seitwärts zu bewegen und tiefer in ein kompromittiertes Netzwerk einzudringen und auch verteilte Denial-of-Service (DDoS) Angriffe zu starten. Neue Ein-Tages-Schwachstellen fallen schnell unter die Angriffs-Kapazitäten dieser Malware.
EnemyBot-Malware erkennen
Erkennen Sie schädliche Aktivitäten im Zusammenhang mit der EnemyBot-Malware mit einer neu veröffentlichten Sigma-Regel auf dem Threat Detection Marketplace der SOC Prime Plattform. Das Erkennungsstück wird von unserem erstklassigen Threat Bounty Entwickler Osman Demir:
Verdächtiger Ingress-Tool-Transfer von EnemyBot (über file_event)
Die Regel ist auf den neuesten MITRE ATT&CK® Rahmen v.10 ausgerichtet und adressiert die Taktik Command and Control mit Ingress Tool Transfer (T1105) als Haupttechnik.
Wenn Sie sich noch nicht auf der Plattform registriert haben, aber dennoch unseren Bedrohungserkennungsinhalt ausprobieren möchten, sehen Sie, was mit der Suchmaschine für Cyber-Bedrohungen verfügbar ist. Durchsuchen Sie jetzt eine reichhaltige Sammlung von Sigma-Regeln mit relevantem Bedrohungskontext und CTI sowie MITRE ATT&CK-Referenzen ohne Registrierung. Drücken Sie die Detailsuche zur Suchmaschine Taste, um eine bessere Erkennung einfach zu gestalten.
Verifizierte Benutzer haben Zugang zu über 185.000 Erkennungsalgorithmen und Threat-Hunting-Abfragen, die mit mehr als 25 Branchenführenden SIEM-, EDR- und XDR-Lösungen abgestimmt sind. Drücken Sie die Schaltfläche In SOC Prime Platform anzeigen , um auf die umfangreiche Bibliothek von Sigma- und YARA-Regeln zuzugreifen, um Ihre Sicherheitsdaten effizienter und agiler zu durchsuchen.
In SOC Prime Platform anzeigen Detailsuche zur Suchmaschine
EnemyBot-Malware-Analyse
EnemyBot-Angriffe gerieten im frühen Frühjahr 2022 auf das Radar von Sicherheitsforschern. Analysten von Securonix waren die ersten, die das neue Linux-basierte Botnetz im März 2022 dokumentierten, gefolgt von Berichten von Fortinet and AT&T über die rasche Entwicklung des Botnetzes. Das Botnetz wurde von der Keksec-Gruppe entwickelt, die seit 2016 in der Bedrohungslandschaft operiert. Heute nutzen die EnebyBot-Betreiber hochkarätige Schwachstellen wie die berüchtigte Log4j oder eine kürzlich aufgetretene kritische Schwachstelle in F5 BIG-IP.
Das Botnetz hat vier Module. Der erste Abschnitt enthält das Python-Skript, das verwendet wird, um alle Abhängigkeiten abzurufen und die Malware für verschiedene Betriebssystemarchitekturen zu erstellen. Das zweite Modul ist der Hauptquellcode des Botnetzes. Der dritte Abschnitt ist ein Verschleierungssegment, und der letzte umfasst die Command-and-Control-Komponente. Sobald das System infiziert ist, verbindet sich die Malware mit dem C&C-Server für Anweisungen, die das Verbreiten auf neue Geräte, das Ausführen von DDoS-Angriffen und das Ausführen von Shell-Kommandos umfassen könnten.
Es sollte auch erwähnt werden, dass der Quellcode für EnemyBot auf Github veröffentlicht ist, sodass Bedrohungsakteure außerhalb der Keksec-Gruppe das Botnetz in ihren Angriffen ebenfalls nutzen können.
Bereit, das umfassende Toolset für SOC-Profis zu erkunden und die Detection as Code in Aktion zu sehen? Registrieren Sie sich auf der SOC Prime Plattform, um die Vorteile des einzigen Threat Detection Marketplace zu nutzen, auf dem Forscher ihre Inhalte monetarisieren.
