EnemyBot 악성코드 탐지: IoT 봇넷이 더 많은 취약점을 악용

고급 EnemyBot 봇넷 뒤의 위협 행위자인 Keksec, 일명 Nero 및 Freakout이 다양한 산업 분야에 상관없이 여러 조직을 침해하면서 더 많은 익스플로잇을 활용하여 그 영향력을 확장하고 있습니다. EnemyBot 악성코드 작성자는 Gafgyt 등 다른 봇넷에서 사용된 낡은 코드를 제거하고 가장 좋은 것만 남겼습니다. Qbot, 또는 Mirai.

이 봇넷은 현재 VMware, D-Link, Adobe, Zyxel, 및 WordPress와 같은 공급업체의 제품에서 보안 취약점을 무기화하는 데 사용되며, 웹 및 CMS 서버 뿐만 아니라 Android 및 IoT 장치의 취약점을 활용하고 있습니다. 적대자들은 이러한 결함을 이용하여 더 깊숙이 침투한 네트워크 이동과 또한 DDoS 공격을 실행할 수 있도록 합니다. 새로운 단일일 취약점들은 이 악성코드의 공격 능력의 범위 내에 빠르게 들어옵니다.

EnemyBot 악성코드 탐지

SOC Prime Platform의 Threat Detection Marketplace에 새롭게 출시된 Sigma 규칙으로 EnemyBot 악성코드와 연관된 악성 행위를 탐지하세요. 이 탐지 규칙은 우리 최상위 Threat Bounty 개발자인 Osman Demir:

가 제공하였습니다. EnemyBot의 수상한 인그레스 도구 전송(파일 이벤트를 통해)

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 정렬되었으며, 인그레스 도구 전송(T1105)이라는 주요 기법으로 명령 및 제어 전술을 다루고 있습니다.

아직 플랫폼에 등록하지 않았지만 위협 탐지 콘텐츠를 사용해보고 싶으신가요? 사이버 위협 검색 엔진을 통해 제공가능한 콘텐츠를 살펴보세요. 관련 위협 컨텍스트 및 CTI 및 MITRE ATT&CK 참조가 포함된 풍부한 Sigma 규칙 컬렉션을 탐색하세요, 등록 없이. 더 나은 탐지를 위해 검색 엔진으로 드릴 다운 버튼을 눌러 번거로움 없이 탐지를 개선하세요.

검증된 사용자는 25개 이상의 업계 선도적인 SIEM, EDR, 및 XDR 솔루션에 맞춘 185K+ 탐지 알고리즘 및 위협 헌팅 쿼리에 접근할 수 있습니다. 귀하의 보안 데이터를 더 효율적으로 처리할 수 있도록 광범위한 Sigma 및 YARA 규칙 라이브러리에 접근하려면 SOC Prime Platform에서 보기 버튼을 누르세요.

SOC Prime Platform에서 보기 검색 엔진으로 드릴 다운

EnemyBot 악성코드 분석

EnemyBot 공격은 2022년 초 봄에 보안 연구원의 레이더에 포착되었습니다. 분석가들은 Securonix 의 조사를 통해 2022년 3월에 새로 등장한 리눅스 기반 봇넷을 처음으로 문서화하였고, 그 뒤를 이어 Fortinet and 과 AT&T 의 심각한 취약점과 같은 고위험 취약점을 활용하고 있습니다. 또는 최근의 F5 BIG-IP.

이 봇넷은 네 가지 모듈로 이루어져 있습니다. 첫 번째 섹션은 모든 종속성을 가져오고 다양한 OS 아키텍처를 위한 악성코드를 생성하는 데 사용되는 파이썬 스크립트를 포함합니다. 두 번째 모듈은 주 봇넷 소스 코드입니다. 세 번째 섹션은 난독화 세그먼트이며, 마지막으로 명령 및 제어 구성 요소가 포함됩니다. 시스템에 존재하면 악성코드는 확산 지시, DDoS 공격 수행 및 쉘 명령 실행 등을 포함할 수 있는 명령을 받기 위해 C&C 서버에 연결합니다.

또한 EnemyBot의 기본 소스 코드는 Github에 게시되어 있으므로 Keksec 그룹 외부의 위협 행위자들도 그들의 공격에 이 봇넷을 사용할 수 있습니다.

SOC 전문가를 위한 포괄적인 도구 세트를 탐색하고 코드로서의 탐지를 실현할 준비가 되셨습니까? 연구자들이 그들의 콘텐츠를 수익화할 수 있는 유일한 위협 탐지 마켓플레이스 의 혜택에 접근하려면 SOC Prime Platform에 등록하세요.