Una nuova botnet sta compromettendo i server Linux e i dispositivi IoT usando metodi brute force che prendono di mira il protocollo SSH, per poi sfruttarli negli attacchi DDoS (Distributed Denial of Service). Il malware, soprannominato Kaiji, è stato scritto da zero usando Golang, un raro linguaggio di programmazione per le botnet in ambito IoT.
Kaiji, che è stato scoperto alla fine di aprile dal ricercatore di sicurezza MalwareMustDie e dai ricercatori di Intezer, è unico per i suoi strumenti personalizzati, creati in quel linguaggio di programmazione. Il malware prende di mira l’account “root” dei dispositivi basati su Linux, che quindi fornisce agli operatori della botnet Kaiji il pieno controllo del dispositivo, osservano i ricercatori di Intezer.
“L’accesso al root è importante per il suo funzionamento poiché alcuni attacchi DDoS sono possibili solo tramite la creazione di pacchetti di rete personalizzati. In Linux, i pacchetti di rete personalizzati vengono dati solo a un utente privilegiato come root.”
Una volta stabilita una connessione SSH, viene creata una directory / usr / bin / lib e quindi Kaiji viene installato con il nome file “netstat”, “ps”, “ls” o un altro nome di tool di sistema.
Una volta eseguito, il malware si copia in / tmp / seeintlog e avvia varie operazioni dannose, tra cui la decrittografia degli indirizzi command-and-control (C2) e la registrazione del server appena infetto su uno dei server dei comandi.
Infine, la botnet recupera i comandi dal server C2 con le istruzioni per attacchi DDoS specifici. La botnet utilizza una varietà di attacchi, tra cui TCP, UDP, SYN e ACK, nonché capacità di spoofing IP.
Questi tipi di attacchi sono comuni per le botnet; Gli attacchi UDP denial-of-service, ad esempio, travolgono le porte casuali sull’host di destinazione con pacchetti IP contenenti datagrammi User Datagram Protocol (UDP); e gli attacchi DDoS TCP SYN sfruttano parte della normale stretta di mano a tre vie TCP per consumare risorse sul server di destinazione e renderlo non rispondente.
Kaiji è solo una delle ultime della sfilza di botnet venute a galla, tra cui Dark_Nexus , MootBot e la botnet DDG . A differenza di queste botnet precedentemente scoperte, Kaiji ha creato i propri strumenti personalizzati in Golang anziché utilizzare linguaggi più comuni.
“È raro vedere una botnet scritta da zero, considerando gli strumenti facilmente disponibili per gli aggressori nei forum del mercato nero e nei progetti open source”, hanno affermato i ricercatori di Intezer.
Gli stessi, ritengono che la botnet abbia “origini cinesi definite”, a causa di alcune funzioni che sono state nominate in una rappresentazione inglese di parole cinesi; e rivelano di aver trovato stringhe demo nel codice sorgente del malware, il che potrebbe significare che “questa è una versione iniziale ancora in fase di test”.
https://threatpost.com/kaiji-botnet-iot-linux-devices/155463/