0
0
Uma nova botnet, rastreada como HEH, descobriu que a botnet implementa um recurso de limpeza de disco que permite que ele limpe todos os dados dos sistemas infectados.
Pesquisadores da Netlab, a divisão de segurança de rede da gigante tecnológica chinesa Qihoo 360, descobriram uma nova botnet, rastreada como HEH, que contém o código para limpar todos os dados de sistemas infectados, como roteadores, dispositivos IoT e servidores.
Os especialistas notaram que o malware suporta várias arquiteturas de CPU, incluindo x86(32/64), ARM(32/64), MIPS (MIPS32/MIPS-III) e PPC, está escrito na linguagemde programação de código aberto Go.
A botnet tem como alvo sistemas com portas SSH (23 e 2323) expostas on-line lançando ataques de força bruta.
O nome vem para o projeto dentro da amostra, as amostras familiares analisadas pelos especialistas foram construídas pelo autor no ambiente WSL na plataforma Windows.
Ao ter acesso ao dispositivo, o bot baixa um dos sete binários que instalam o malware HEH.
A análise do HEH Bot revelou que ele contém três módulos funcionais: módulo de propagação, módulo de serviço HTTP local e módulo P2P.
Especialistas apontaram que o bot não contém nenhum recursos ofensivos, como a capacidade de lançar ataques DDoS ou minerar criptomoedas, uma circunstância que sugere que o malware está em desenvolvimento.
“Atualmente, as funções mais úteis para toda a Botnet são executar comandos Shell, atualizar Lista de Pares e UpdateBotFile. A função Attack no código é apenas uma função vazia reservada e não foi implementada. Pode-se ver que o Botnet ainda está em fase de desenvolvimento. Vamos ver o que o autor vem com o recurso Attack.” lê a análise publicada pelos pesquisadores.
A função para analisar o Bot Cmd no Bot é main.executeCommand(), o recurso mais notável notado pelos especialistas relacionado a um cmd com código número 8. Quando o bot receber este comando, ele tentará eliminar o conteúdo dos discos através de uma série de comandos Shell.
O malware é capaz de limpar o conteúdo de roteadores domésticos, dispositivos inteligentes de Internet das Coisas (IoT) e servidores Linux.
Mesmo que a botnet ainda esteja se espalhando, especialistas notaram que ela também tem outros grandes problemas em sua implementação, por exemplo, a implementação do P2P ainda tem falhas. Especialistas notaram que o Bot mantém uma Lista de Pares internamente, e há uma comunicação contínua de Ping<-gt;Pong entre pares, mas a botnet geral ainda funciona com um modelo centralizado. Na versão atual, cada nó não pode enviar comando de controle para seus pares.
“Dito isso, a nova e em desenvolvimento estrutura P2P, o suporte múltiplo de arquitetura de CPU, o recurso de autodestruição incorporado, todos tornam essa botnet potencialmente perigosa”, conclui o post.
FONTE: SECURITY AFFAIRS