0
0
A KashmirBlack tem como alvo sistemas populares de gerenciamento de conteúdo, como WordPress, Joomla e Drupal, e usando o Dropbox e o GitHub para comunicação para ocultar sua presença.
Uma botnet focada em criptominamento, spam e desfiguração infectou centenas de milhares de sites executando sistemas populares de gerenciamento de conteúdo (CMSes), como WordPress, Joomla, Magneto e Drupal, de acordo com a empresa de segurança online Imperva.
A botnet, apelidada de KashmirBlack, usa uma infraestrutura modular que inclui recursos como equilibrar as comunicações de balanceamento de carga com servidores de comando e controle e armazenar arquivos em serviços de armazenamento em nuvem, como Dropbox e GitHub, para acelerar o acesso a quaisquer novas atualizações de código para os sistemas infectados com o software. O botnet KashmirBlack infecta principalmente plataformas populares de CMS, explorando dezenas de vulnerabilidades conhecidas em servidores direcionados e realizando milhões de ataques por dia em média, de acordo com um par de relatórios publicados hoje por pesquisadores do Imperva.
Os CMSes muitas vezes não são mantidos atualizados e, portanto, podem ser explorados com vulnerabilidades públicas, diz Ofir Shaty, analista de tecnologia de segurança da Imperva e um dos autores dos relatórios. “O foco nos sistemas de gerenciamento de conteúdo é interessante”, diz ele. “Eles escolheram algo que seria mais fácil de ter sucesso com a exploração, dando-lhes a capacidade de aumentar o tamanho da botnet rapidamente.”
Para coletar informações sobre a botnet de quase um ano, os pesquisadores se passaram por um servidor infectado na botnet e também criaram um servidor honeypot que executava um dos portais cms alvo. O “servidor de disseminação” permitiu que os pesquisadores coletassem comandos e scripts que foram comunicados à botnet. Quando um site comprometido foi definido para continuar a espalhar o software de bot, os pesquisadores descobriram que ele atacaria uma média de 240 hosts, ou 3.450 sites de vítimas, todos os dias.
Com 285 sistemas observados tentando espalhar o software de bot ao longo de vários meses, e uma taxa de sucesso presumida de 1%, os pesquisadores estimaram que cerca de 230.000 sites foram comprometidos nos últimos 11 meses.
“Durante nossa pesquisa, testemunhamos sua evolução de uma botnet de médio volume com habilidades básicas para uma infraestrutura maciça que está aqui para ficar”, concluíram os pesquisadores nos relatórios.
A arquitetura de alto desempenho da botnet, projetada para facilitar a atualização, impressionou os pesquisadores. A botnet usa dois clusters de sistemas infectados como repositórios para códigos e explorações, e divide sistemas comprometidos para aqueles que buscam ativamente novos bots e um grupo maior à espera de instruções. Os recursos de balanceamento de carga foram adicionados aos repositórios para aumentar a capacidade de resposta e disponibilidade, disseram os pesquisadores.
Além disso, a botnet mudou rapidamente nos últimos 11 meses. Em setembro, por exemplo, os operadores de botnet alteraram o recurso de comando e controle para usar a API do Dropbox para armazenar registros de suas operações e recuperar comandos, observaram os pesquisadores nos relatórios.
Quatro estratégias que as equipes de segurança podem usar para se defender contra vetores de ataque comuns e táticas de escalada de privilégios, ransomware e aquisições de contas.Trazido a você por CyberArk
“O importante aqui é entender que a atividade botnet é dinâmica”, diz Nadav Avital, chefe de pesquisa de ameaças da Imperva e um dos autores. “Não é como se você pudesse bloquear ou colocar alguma regra de segurança uma vez e ser feito com ele. A botnet evolui, muda, implanta novas técnicas de evasão — às vezes todos os dias, todas as semanas ou todos os meses.”
O uso de serviços legítimos de nuvem — a botnet também usa o GitHub e o Pastebin — torna o tráfego de comunicações mais difícil de detectar, diz Shaty, da Imperva.
“A botnet pode facilmente se camuflar no tráfego legítimo”, diz ele. “Os serviços não podem detectá-lo porque o bot está apenas armazenando arquivos. Não há funcionalidade maliciosa.”
Entre as vulnerabilidades exploradas pela botnet estão fraquezas comuns, como sistemas que permitem upload irrestrito de arquivos, execução remota de comando, capacidade de atravessar o sistema de diretório e falta de limitações em tentativas de credenciais que permitem a adivinhação de senha com força bruta. Muitas das explorações visam plug-ins para WordPress e outros CMSes populares.
A maioria dos servidores são encarregados de criptominamento ou spam, mas em alguns casos a botnet parece ser usada em alguns desfiguramentos. A partir de uma assinatura de desfiguração, os pesquisadores encontraram uma pista sobre a identidade do operador botnet: um hacker conhecido como “Exect1337”, que é membro da equipe de hackers indonésia “PhantomGhost”.
FONTE: DARK READING