Botnets enviam explorações dentro de dias a semanas após a PoC publicada

Views: 238
0 0
Read Time:4 Minute, 9 Second

Os invasores rapidamente revertem ataques do mundo real usando código de prova de conceito, levando apenas dias a semanas para criar explorações viáveis a partir de pesquisas publicadas, de acordo com seis meses de dados coletados por pesquisadores da Trustwave.

Durante o experimento, a Trustwave implantou honeypots que imitavam cinco dispositivos corporativos comuns, descobrindo que os invasores começaram a explorar uma vulnerabilidade dentro de seis dias após o lançamento do código de prova de conceito (PoC) e outra dentro de 17 dias. No geral, os pesquisadores descobriram que as varreduras de exploração, que incluem varredura legítima da Internet por profissionais de segurança, bem como invasores, representaram 25% das solicitações HTTP e HTTPS, enquanto os ataques reais representaram 19% do tráfego para os servidores recém-criados. Quase todos os ataques vieram de três botnets específicos: Mozi, Mirai e Kinsing.

As empresas devem assumir que os invasores serão capazes de fazer engenharia reversa de qualquer patch e desenvolver sua própria exploração, mesmo sem uma prova de conceito, diz Ziv Mador, vice-presidente de pesquisa de segurança da Trustwave.

“É essencial ficar atento ao fluxo constante de vulnerabilidades recém-descobertas, tomar medidas proativas e aplicar patches prontamente para minimizar a janela de oportunidade para os agentes de ameaças”, diz ele.

A pesquisa destaca não apenas que os invasores estão usando rapidamente o código de exploração, mas que os ataques são rapidamente automatizados conectando-se à infraestrutura de botnet existente. Dos 19% de tráfego que tentaram explorar os honeypots dos pesquisadores, 73% vieram da botnet Mozi, 14% da botnet Kinsing e 9% vieram da botnet Mirai.

Todos os três botnets tendem a se concentrar na Internet das Coisas (IoT) e em dispositivos de borda, como servidores de arquivos gerenciados, servidores de e-mail, gateways de rede e sistemas de controle industrial que gerenciam a tecnologia operacional. Mozi, por exemplo, é uma botnet peer-to-peer que começou infectando gateways de rede e dispositivos de gravação de vídeo digital, mas evoluiu para explorar vulnerabilidades em dispositivos de gateway de rede. Atualizações recentes para a botnet Mirai incluem a capacidade de explorar bugs em dispositivos de rede Tenda e Zyxel.

Atualmente, a Mozi é muito agressiva em seus esforços para encontrar o maior número possível de dispositivos IoT desprotegidos, diz Allen West, pesquisador de segurança da Akamai.

“A segurança historicamente não tem sido tão prioritária nos dispositivos IoT, mas eles compõem uma grande parte do cenário da Internet”, diz ele. “Se ele pode enviar tráfego, é bom o suficiente para ser usado como um bot. Os atacantes, principalmente o Mirai, reconheceram isso e construíram toda a sua operação em torno dessa ideia.”

Pegando código na hora

Para conduzir a pesquisa, os especialistas em segurança cibernética da Trustwave SpiderLabs implantaram honeypots em seis países diferentes para cinco dispositivos diferentes — Fortra GoAnywhere MFT, Microsoft Exchange, Fortinet FortiNAC, Atlassian BitBucket e F5 Big-IP — para emular redes corporativas vulneráveis. Eles coletaram dados de mais de 38.000 endereços IP, incluindo pelo menos 1.100 cargas únicas, afirmaram os pesquisadores em sua análise.

Os honeypots tinham alguma capacidade de interagir com os atacantes, usando um “honeypot de interação média”, tentando enganar os intrusos para que acreditassem que sua exploração havia funcionado. No entanto, os honeypots não estenderam a charada além desse nível básico. Após uma tentativa de exploração, os invasores normalmente executam _wget_ ou _curl_ para baixar o próximo estágio do ataque, mas em vez de executar o comando, o honeypot apenas tentou baixar o próximo estágio para análise, diz Mador, da Trustwave.

“Nossos honeypots foram configurados como verdadeiros aplicativos vulneráveis e foi assim que apareceram em serviços como o Shodan”, diz Mador. “Capturamos com sucesso vários shells da Web, que são comumente usados por indivíduos ou grupos envolvidos em tais atividades, mas devido à natureza de interação média de nosso honeypot, não conseguimos rastrear as ações subsequentes que os invasores podem ter tomado.”

Os honeypots detectaram um ataque contra o Fortra GoAnywhere MFT, um serviço gerenciado de transferência de arquivos, nos EUA e no Reino Unido, que tentou carregar um shell da Web não relatado anteriormente. Os pesquisadores também detectaram ataques que tinham como alvo uma vulnerabilidade no dispositivo Fortinet FortiNAC (CVE-2022-39952) dentro de seis dias após o lançamento do código de exploração PoC. Outros ataques tiveram como alvo servidores Atlassian Bitbucket e dispositivos F5 Big-IP.

Toda empresa deve ter um honeypot?

Embora a aplicação rápida de patches em dispositivos de borda e IoT deva ser uma prioridade, as organizações também devem priorizar os dispositivos para os quais as explorações de PoC foram lançadas ou estão sendo atacadas na natureza.

No entanto, Mador sugere que as empresas considerem a implantação de honeypots próprios.

“Quando as medidas de segurança existentes não oferecem visibilidade adequada sobre esses ataques, a implantação de um honeypot pode ser uma opção valiosa a ser considerada”, diz ele. “Os honeypots atuam como camadas adicionais de defesa, atraindo atacantes e fornecendo informações valiosas sobre suas táticas e técnicas.”

FONTE: DARK READING

POSTS RELACIONADOS