0
0
Um malware evasivo recém-descoberto aproveita um protocolo chave voltado para a Internet para entrar em sistemas corporativos para minerar criptomoedas, lançar ataques distribuídos de negação de serviço (DDoS) e ganhar uma posição em redes corporativas, descobriram pesquisadores.
Apelidado de KmsdBot por pesquisadores da Akamai Security Research, o botnet infecta sistemas por meio de uma conexão Secure Shell Protocol (SSH) com credenciais de login fracas, de acordo com um relatório publicado na quinta-feira. O SSH é um protocolo de administração remota que permite aos usuários acessar, controlar e modificar seus servidores remotos pela Internet.
A botnet representa o maior risco para empresas que implantaram infraestrutura em nuvem ou redes corporativas expostas à Internet, diz Larry Cashdollar, engenheiro principal de resposta de inteligência de segurança da Akamai.
“Uma vez que este malware está sendo executado em seu sistema, ele essencialmente tem um ponto de apoio em sua rede”, ele diz ao Dark Reading. ”
Os pesquisadores observaram o KmsdBot – escrito em Golang como uma medida evasiva – visando uma gama “errática” de vítimas, incluindo empresas de jogos e tecnologia, bem como fabricantes de carros de luxo, escreveu Cashdollar em um relatório de 10 de novembro . Golang é uma linguagem de programação atraente para os agentes de ameaças porque é difícil para os pesquisadores fazer engenharia reversa.
Além disso, uma vez que infecta um sistema, o botnet não mantém a persistência, permitindo que ele evite ainda mais a detecção. “Não é sempre que vemos esses tipos de botnets atacando e se espalhando ativamente, especialmente aqueles escritos em Golang”, escreveu Cashdollar.
Ataque à empresa de jogos
Os pesquisadores detectaram o KmsdBot quando ele pendurou um honeypot incomumente aberto na esperança de atrair invasores. A primeira vítima do novo malware que observaram foi um cliente da Akamai – uma empresa de jogos chamada FiveM que permite que as pessoas hospedem servidores privados personalizados para Grand Theft Auto online, disseram eles.
No ataque, os agentes de ameaças abriram um soquete de protocolo de datagrama de usuário (UDP) e criaram um pacote usando um token de sessão FiveM. UDP é um protocolo de comunicação usado na Internet para transmissões sensíveis ao tempo, como reprodução de vídeo ou pesquisas de DNS.
“Isso fará com que o servidor acredite que um usuário está iniciando uma nova sessão e desperdiçará recursos adicionais além da largura de banda da rede”, escreveu Cashdollar.
Os pesquisadores também observaram uma série de outros ataques do bot que foram menos especificamente direcionados, disseram eles. Eles incluíam pacotes TCP/UDP genéricos de camada 4 com dados aleatórios como carga útil, ou HTTP de camada 7 consistindo em solicitações GET e POST para o caminho raiz ou um caminho especificado definido no comando de ataque, disse ele.
E embora o bot tenha capacidade de criptomineração, os pesquisadores não observaram esse aspecto específico de sua funcionalidade – apenas a atividade DDoS, acrescentou Cashdollar.
Em geral, o KmsdBot tem uma ampla superfície de ataque, suportando várias arquiteturas, incluindo Winx86, Arm64, mips64 e x86_64, disseram os pesquisadores. Ele usa TCP para se comunicar com sua infraestrutura de comando e controle.
Evitando e mitigando ataques de bots
Apesar do perigo que representa para as empresas, elas podem evitar ser vítimas da botnet usando as melhores práticas comuns de segurança de rede que elas realmente deveriam implementar de qualquer maneira, diz Cashdollar.
“A melhor maneira de evitar a infecção é usar a autenticação baseada em chave e desabilitar os logins de senha, ou certificar-se de que você está usando senhas fortes”, diz ele ao Dark Reading.
De fato, o comprometimento de senhas – seja usando credenciais roubadas ou quebrando as proteções fracas de uma empresa – continua sendo uma das principais maneiras pelas quais os agentes de ameaças acessam os sistemas corporativos.
Além de senhas fortes, especialistas em segurança recomendam autenticação multifator, bem como soluções mais avançadas para resolver esse problema persistente. No entanto, é um conselho que permanece ignorado pelos usuários em muitas configurações corporativas, deixando as redes expostas a ameaças como o KmsdBot.
Outras etapas fáceis que as organizações podem tomar para se proteger, de acordo com Cashdollar, incluem manter os aplicativos implantados atualizados com os patches de segurança mais recentes, bem como verificá-los de tempos em tempos para garantir que permaneçam seguros.
FONTE: DARK READING