Detección de Malware EnemyBot: Botnet IoT Explota Más Vulnerabilidades
Tabla de contenidos:
Keksec, también conocido como Nero y Freakout, el actor de amenaza detrás del avanzado botnet EnemyBot, está expandiendo su alcance aprovechando más exploits, comprometiendo múltiples organizaciones independientemente de su sector industrial. Los autores del malware EnemyBot tomaron lo mejor y dejaron atrás el código obsoleto utilizado en otros botnets como Gafgyt, Qbot, o Mirai.
Actualmente, el botnet se utiliza para aprovechar agujeros de seguridad en productos de proveedores como VMware, D-Link, Adobe, Zyxel, y WordPress, así como para aprovechar vulnerabilidades en servidores web y CMS, así como en dispositivos Android e IoT. Los adversarios usan los errores para poder moverse lateralmente y profundizar en la red comprometida, además de lanzar ataques de denegación de servicio distribuido (DDoS). Las nuevas vulnerabilidades de un día caen rápidamente bajo el paraguas de las capacidades de ataque de este malware.
Detectar malware EnemyBot
Detectar acciones maliciosas asociadas con el malware EnemyBot con una regla Sigma recién publicada en el Mercado de Detección de Amenazas de la Plataforma SOC Prime. La pieza de detección es proporcionada por nuestro desarrollador de Threat Bounty de primer nivel Osman Demir:
Transferencia de herramientas de ingreso sospechosa de EnemyBot (via file_event)
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de mando y control con Transferencia de Herramientas de Ingreso (T1105) como la técnica principal.
Si aún no se ha registrado en la Plataforma pero aún le gustaría probar nuestro contenido de detección de amenazas, vea lo que está disponible con el motor de búsqueda de amenazas cibernéticas. Navegue a través de una rica colección de reglas Sigma con contexto de amenazas relevante y referencias CTI y MITRE ATT&CK ahora, sin necesidad de registro. Pulse el botón Explorar con el motor de búsqueda para impulsar una mejor detección sin complicaciones.
Los usuarios verificados tienen acceso a más de 185K algoritmos de detección y consultas de búsqueda de amenazas alineadas con más de 25 soluciones SIEM, EDR y XDR líderes en la industria. Presione el botón Ver en la Plataforma SOC Prime para acceder a la vasta biblioteca de reglas Sigma y YARA para recorrer sus datos de seguridad con más eficiencia y agilidad.
Ver en la Plataforma SOC Prime Explorar con el motor de búsqueda
Análisis del Malware EnemyBot
Los ataques de EnemyBot fueron detectados por investigadores de seguridad a principios de la primavera de 2022. Analistas de Securonix fueron los primeros en documentar el nuevo botnet basado en Linux en marzo de 2022, seguidos por Fortinet and informes de AT&T sobre la rápida evolución del botnet. El botnet fue desarrollado por el grupo Keksec, conocido por operar en el paisaje de amenazas desde 2016. Hoy en día, los operadores de EnebyBot están aprovechando vulnerabilidades de alto perfil como el notorio Log4j o una reciente falla crítica en F5 BIG-IP.
El botnet tiene cuatro módulos. La primera sección contiene el script de Python, que se utiliza para recuperar todas las dependencias y crear el malware para diversas arquitecturas de sistema operativo. El segundo módulo es el código fuente principal del botnet. La tercera sección es un segmento de ofuscación, y el último incluye el componente de mando y control. Una vez en el sistema, el malware se conecta al servidor C&C para recibir instrucciones, que pueden incluir propagación a nuevos dispositivos, realizar ataques DDoS y ejecutar comandos de shell.
También debe mencionarse que el código fuente base para EnemyBot está publicado en Github, por lo que actores de amenazas fuera del grupo Keksec también pueden usar el botnet en sus ataques.
¿Listo para explorar el conjunto de herramientas integral para profesionales de SOC y ver la Detección como Código en acción? Regístrese en la Plataforma SOC Prime para acceder a los beneficios del único Mercado de Detección de Amenazas donde los investigadores monetizan su contenido.
