Détection de Malware EnemyBot : Le Botnet IoT Exploite Plus de Failles
Table des matières :
Keksec, alias Nero et Freakout, l’acteur de la menace derrière le botnet avancé EnemyBot, étend sa portée en exploitant plus de failles, compromettant plusieurs organisations indépendamment de leur secteur d’activité. Les auteurs du malware EnemyBot ont pris le meilleur et ont laissé de côté l’obsolète du code utilisé dans d’autres botnets tels que Gafgyt, Qbot, ou Mirai.
Le botnet est actuellement utilisé pour exploiter les failles de sécurité dans les produits de vendeurs tels que VMware, D-Link, Adobe, Zyxel, et WordPress, ainsi qu’en exploitant les vulnérabilités dans les serveurs web et CMS ainsi que les appareils Android et IoT. Les adversaires utilisent les bugs pour pouvoir se déplacer latéralement afin de pénétrer plus profondément dans un réseau compromis et également lancer des attaques par déni de service distribué (DDoS). De nouvelles vulnérabilités d’un jour tombent rapidement sous l’égide des capacités d’attaque de ce malware.
Détecter le malware EnemyBot
Détectez les actions malveillantes associées au malware EnemyBot avec une règle Sigma nouvellement publiée sur le Threat Detection Marketplace de la plateforme SOC Prime. La pièce de détection est fournie par notre développeur Threat Bounty de premier ordre Osman Demir:
Transfert d’outil d’entrée suspect d’EnemyBot (via file_event)
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, traitant de la tactique de Command and Control avec Ingress Tool Transfer (T1105) comme technique principale.
Si vous ne vous êtes pas encore inscrit sur la plateforme mais souhaitez toujours essayer notre contenu de détection de menaces, voyez ce qui est disponible avec le moteur de recherche des cybermenaces. Parcourez une riche collection de règles Sigma avec un contexte de menace pertinent et des références CTI et MITRE ATT&CK dès maintenant, sans inscription. Appuyez sur le Drill Down to Search Engine bouton pour améliorer votre détection sans tracas.
Les utilisateurs vérifiés ont accès à plus de 185 000 algorithmes de détection et requêtes de chasse aux menaces alignés avec plus de 25 solutions SIEM, EDR et XDR de premier plan dans l’industrie. Appuyez sur le View in SOC Prime Platform bouton pour accéder à la vaste bibliothèque de règles Sigma et YARA pour passer au crible vos données de sécurité avec plus d’efficacité et de souplesse.
View in SOC Prime Platform Drill Down to Search Engine
Analyse du malware EnemyBot
Les attaques EnemyBot ont attiré l’attention des chercheurs en sécurité au début du printemps 2022. Les analystes de Securonix ont été les premiers à documenter le nouveau botnet basé sur Linux en mars 2022, suivi par Fortinet and les rapports d’ sur l’évolution rapide du botnet. Le botnet a été développé par le groupe Keksec, connu pour opérer dans le paysage des menaces depuis 2016. Aujourd’hui, les opérateurs d’EnemyBot exploitent des vulnérabilités de haut niveau telles que les célèbres Log4j ou une faille critique récente dans F5 BIG-IP.
Le botnet a quatre modules. La première section contient le script python, qui est utilisé pour récupérer toutes les dépendances et créer le malware pour diverses architectures OS. Le deuxième module est le code source principal du botnet. La troisième section est un segment d’obfuscation, et la dernière comprend le composant de commande et de contrôle. Une fois dans le système, le malware se connecte au serveur C&C pour obtenir des instructions, qui pourraient inclure la propagation vers de nouveaux appareils, l’exécution d’attaques DDoS et l’exécution de commandes shell.
Il convient également de mentionner que le code source de base pour EnemyBot est publié sur Github, permettant ainsi aux acteurs de la menace en dehors du groupe Keksec d’utiliser également le botnet dans leurs attaques.
Prêt à explorer la boîte à outils complète pour les professionnels SOC et voir la détection en tant que code en action ? Inscrivez-vous à la plateforme SOC Prime pour accéder aux avantages du seul Threat Detection Marketplace où les chercheurs monétisent leur contenu.
