Rapportdatum: 18 juni 2024
Bakgrund
Botnät är en samling av internetanslutna enheter som var och en kör en eller flera bots. Bots skapas vanligtvis genom att infektera enheten med skadlig kod, vilket gör det möjligt för angriparen att kontrollera enheten på distans. Hotaktörer kan sedan använda botnätet för att utföra olika skadliga aktiviteter, såsom att starta distribuerade överbelastningsattacker (DDoS), skicka spam eller stjäla känslig information. Den ökade inriktningen på IoT-enheter av hotaktörer kan tillskrivas deras brist på robusta säkerhetsåtgärder.
Teknisk Analys
Installation
Zerobot, ett självförökande Go-lang malware som främst sprids genom IoT- och webbapplikationssårbarheter, har identifierats som ett växande hot av Microsoft Defender för IoT forskarteam. Botnätet, även kallat ZeroStresser av Microsoft, uppdateras kontinuerligt med nya exploits och kapabiliteter.
Funktioner
- Kommand- och kontrollkommunikation (C2): Använder krypterade kanaler (t.ex. HTTPS, SSL/TLS) för att kommunicera med sin C2-server. Uppdateras regelbundet med nya exploits och kapabiliteter.
- Dataexfiltration: Kan utnyttja sårbarheter i Apache och Apache Spark (namnligt CVE-2021-42013 och CVE-2022-33891). Inkluderar nya DDoS-attackmöjligheter.
- Fjärrkontroll: Utför kommandon som skickas från C2-servern. Använder kommandon för att ladda ner filer på värden och rensa andra malware/botnät som finns på värden.
- Lateral rörelse: Använder kommandoinjektions-exploits för att sprida sig till andra enheter i nätverket.
Indikatorer på Kompromettering (IoC)
- CVE-sårbarheter:
- CVE-2014-8361: Improper Input Validation (Realtek SDK, D-Link Router)
- CVE-2016-20017: Command Injection (D-Link Router)
- CVE-2017-17215: Improper Input Validation (Huawei HG532 Router)
- CVE-2018-10561/10562: Authentication and Command Injection (Dasan GPON Router)
- CVE-2020-10987: Command Injection (Tenda AC15 AC1900 Router)
- CVE-2021-35395: Command Injection and Out-of-bounds Write (Realtek Jungle SDK)
- CVE-2021-36260: Command Injection (Hikvision IP Camera)
- CVE-2021-41773: Path Traversal (Apache HTTP Server)
- CVE-2022-1388: Missing Authentication for Critical Function (F5 BIG-IP Firewall)
- CVE-2022-22965: Command Injection (Spring MVC/WebFlux)
- CVE-2022-30525: Command Injection (Zyxel USG FLEX-series Firewall)
Påverkan
Effekten av en Zerobot-infektion kan vara allvarlig och inkluderar, men är inte begränsad till:
- Dataintrång: Förlust av känslig och konfidentiell information.
- Finansiella förluster: Kostnader associerade med incidentrespons, åtgärder och potentiella böter.
- Driftsstörningar: Avbrott och störning av normal verksamhet.
- Rykte: Förlust av förtroende från kunder och partners.
Åtgärdsstrategier
- Uppdatering och Patch Management: Se till att alla system och programvaror regelbundet uppdateras och patchas för att motverka utnyttjande av kända sårbarheter.
- Nätverksövervakning: Använd intrångsdetekterings- och förebyggandesystem (IDPS) för att övervaka och blockera misstänkt nätverksaktivitet. Implementera nätverkssegmentering för att begränsa lateral rörelse.
- Endpoint Protection: Distribuera och underhåll uppdaterade anti-malware lösningar på alla slutpunkter. Använd endpoint detection and response (EDR) verktyg för att upptäcka och svara på misstänkta aktiviteter.
- Regelbundna Säkerhetskopior: Utför regelbundna säkerhetskopior av kritisk data och se till att de lagras säkert och offline.
- Incident Respons Plan: Utveckla och uppdatera regelbundet en incident response-plan för att snabbt hantera och åtgärda infektioner.
Slutsats
Zerobot botnet representerar ett betydande hot på grund av sina sofistikerade kapabiliteter och den potentiella påverkan dess operationer kan ha. Organisationer måste vara vaksamma, tillämpa omfattande säkerhetsåtgärder och upprätthålla ett proaktivt förhållningssätt till cybersäkerhet för att försvara sig mot sådana hot.
För ytterligare assistans och detaljerad analys, kontakta din cybersäkerhetsleverantör eller incident response-team.