Detecção de Malware EnemyBot: Botnet IoT Explora Mais Vulnerabilidades
Índice:
Keksec, também conhecido como Nero e Freakout, o agente de ameaça por trás do botnet avançado EnemyBot, está expandindo seu alcance ao aproveitar mais exploits, comprometendo várias organizações independentemente do seu setor de atuação. Os autores do malware EnemyBot pegaram o melhor e deixaram para trás o código obsoleto usado em outros botnets como Gafgyt, Qbot, ou Mirai.
O botnet é atualmente usado para armar vulnerabilidades em produtos de fornecedores como VMware, D-Link, Adobe, Zyxel, e WordPress, além de aproveitar vulnerabilidades em servidores web e CMS, bem como dispositivos Android e dispositivos IoT. Os adversários usam as falhas para poder mover-se lateralmente, aprofundando-se em uma rede comprometida, além de lançar ataques de negação de serviço distribuída (DDoS). Novas vulnerabilidades de um dia rapidamente caem sob o guarda-chuva das capacidades de ataque deste malware.
Detectar Malware EnemyBot
Detecte ações maliciosas associadas ao malware EnemyBot com uma regra Sigma recém-lançada no Threat Detection Marketplace da SOC Prime Platform. A peça de detecção é fornecida pelo nosso desenvolvedor Threat Bounty de primeira linha Osman Demir:
Transferência de Ferramenta de Ingress Suspeita do EnemyBot (via file_event)
A regra está alinhada com a última estrutura do MITRE ATT&CK® v.10, abordando a tática de Comando e Controle com Transferência de Ferramenta de Ingress (T1105) como a técnica principal.
Se você ainda não se registrou na Plataforma, mas gostaria de experimentar nosso conteúdo de detecção de ameaças, veja o que está disponível com o motor de busca de ameaças cibernéticas. Navegue por uma rica coleção de regras Sigma com contexto de ameaça relevante e referências CTI e MITRE ATT&CK agora, sem necessidade de registro. Clique no botão Drill Down to Search Engine para obter melhor detecção sem complicações.
Os usuários verificados têm acesso a mais de 185K algoritmos de detecção e consultas de busca de ameaças alinhadas com mais de 25 soluções líderes da indústria como SIEM, EDR, e XDR. Pressione o botão View in SOC Prime Platform para acessar a vasta biblioteca de regras Sigma e YARA para vasculhar seus dados de segurança com mais eficiência e agilidade.
View in SOC Prime Platform Drill Down to Search Engine
Análise do Malware EnemyBot
Os ataques do EnemyBot entraram no radar dos pesquisadores de segurança no início da primavera de 2022. Analistas da Securonix foram os primeiros a documentar o novo botnet baseado em Linux em março de 2022, seguidos por relatórios da Fortinet and e da AT&T sobre a rápida evolução do botnet. O botnet foi desenvolvido pelo grupo Keksec, conhecido por operar no cenário de ameaças desde 2016. Hoje, os operadores do EnemyBot estão explorando vulnerabilidades de alto perfil como a notória Log4j ou uma falha crítica recente no F5 BIG-IP.
O botnet possui quatro módulos. A primeira seção contém o script em Python, usado para recuperar todas as dependências e criar o malware para várias arquiteturas de OS. O segundo módulo é o código-fonte principal do botnet. A terceira seção é um segmento de ofuscação, e a última inclui o componente de comando e controle. Uma vez no sistema, o malware se conecta ao servidor C&C para instruções, que podem incluir espalhar-se para novos dispositivos, realizar ataques DDoS e executar comandos shell.
Também deve ser mencionado que o código-fonte base para EnemyBot está publicado no Github, portanto, agentes de ameaça fora do grupo Keksec também podem usar o botnet em seus ataques.
Pronto para explorar o conjunto de ferramentas completo para profissionais de SOC e ver a Detecção como Código em ação? Registre-se na SOC Prime Platform para acessar os benefícios do único Marketplace de Detecção de Ameaças onde pesquisadores monetizam seu conteúdo.
