Neues Linux-Botnetz nutzt Log4J aus und verwendet DNS-Tunneling für die Kommunikation!
Ein kürzlich entdecktes Botnetz, das sich aktiv in der Entwicklung befindet, zielt auf Linux-Systeme ab und versucht, sie in eine Armee von Bots zu verstricken, die bereit sind, vertrauliche Informationen zu stehlen, Rootkits zu installieren, Reverse-Shells zu erstellen und als Proxys für den Webverkehr zu fungieren.
Die neu gefundene Malware, die von Forschern des Network Security Research Lab (360 Netlab ) von Qihoo 360 als B1txor20 bezeichnet wird, konzentriert ihre Angriffe auf Geräte mit Linux ARM und X64-CPU-Architektur.
Das Botnetz verwendet Exploits, die auf die Log4J-Schwachstelle abzielen, um neue Hosts zu infizieren, ein sehr attraktiver Angriffsvektor, wenn man bedenkt, dass Dutzende von Anbietern die anfällige Apache Log4j-Protokollierungsbibliothek verwenden.
Die Forscher entdeckten das B1txor20-Botnetz zum ersten Mal am 9. Februar, als die erste Probe von einem ihrer Honeypot-Systeme abgefangen wurde.
Insgesamt erfassten sie insgesamt vier Malware-Beispiele mit Backdoor, SOCKS5-Proxy, Malware-Download, Datendiebstahl, willkürlicher Befehlsausführung und Rootkit-Installationsfunktionen.
DNS-Tunneling wird verwendet, um den C2-Kommunikationsverkehr zu verbergen
Was die B1txor20-Malware jedoch auszeichnet, ist die Verwendung von DNS-Tunneling für Kommunikationskanäle mit dem Command-and-Control-Server (C2), einer alten, aber immer noch zuverlässigen Technik, die von Angreifern verwendet wird, um das DNS-Protokoll auszunutzen, um Malware und Daten zu tunneln über DNS-Abfragen.
„Der Bot sendet die gestohlenen sensiblen Informationen, die Ergebnisse der Befehlsausführung und alle anderen Informationen, die übermittelt werden müssen, nachdem er sie mit bestimmten Verschlüsselungstechniken versteckt hat, als DNS-Anfrage an C2“, erklärten die Forscher.
„Nach Erhalt der Anfrage sendet C2 die Nutzdaten als Antwort auf die DNS-Anfrage an die Bot-Seite. Auf diese Weise erreichen Bot und C2 mithilfe des DNS-Protokolls eine Kommunikation.“
Die Forscher von 360 Netlab fanden auch heraus, dass die Entwickler der Malware zwar eine breitere Palette von Funktionen eingebaut haben, aber nicht alle aktiviert sind.
Dies ist wahrscheinlich ein Zeichen dafür, dass die deaktivierten Funktionen immer noch fehlerhaft sind und die Entwickler von B1txor20 immer noch daran arbeiten, sie zu verbessern und sie in Zukunft einzuschalten.
Zusätzliche Informationen, einschließlich Indikatoren für Kompromittierung (IOCs) und eine Liste aller unterstützten C2-Befehle, finden Sie am Ende des 360 Netlab-Berichts .
Laufende Ausnutzung von Log4J durch Botnets:
Seit seiner Offenlegung haben mehrere Bedrohungsakteure Log4Shell-Exploits bei ihren Angriffen eingesetzt, darunter staatlich unterstützte Hackergruppen, die mit Regierungen in China, Iran, Nordkorea und der Türkei verbunden sind, und als Zugangsvermittler, die von Ransomware-Banden eingesetzt werden.
„Seit die Log4J-Schwachstelle aufgedeckt wurde, sehen wir, dass immer mehr Malware auf den Wagen aufgesprungen ist, Elknot, Gafgyt, Mirai sind nur allzu bekannt“, fügten die Forscher von 360 Netlab hinzu.
Beispielsweise entdeckten sie im Dezember Bedrohungsakteure, die die Sicherheitslücke Log4J ausnutzten, um gefährdete Linux-Geräte mit Mirai- und Muhstik-Linux-Malware zu infizieren.
Diese Botnets „rekrutierten“ IoT-Geräte und -Server und nutzten sie, um Krypto-Miner einzusetzen und groß angelegte DDoS-Angriffe durchzuführen.
Barracuda bestätigte den Bericht von 360 Netlan Anfang dieses Monats und sagte, sie hätten verschiedene Payloads entdeckt, die auf anfällige Log4j-Bereitstellungen abzielen, wobei Mirai-Botnet-Varianten, die für DDoS und Cryptomining genutzt werden, den Löwenanteil einnehmen.
Die Security-Researcher von Barracuda haben nach der Analyse diverser Angriffe festgestellt, dass die meisten Ausnutzungsversuche von IP-Adressen aus den USA kamen, gefolgt von Japan, Mitteleuropa und Russland.
Die Bedrohungsakteure hinter diesen Operationen vermieten entweder ihre Botnetz-Feuerkraft an andere oder starten selbst DDoS-Angriffe, um Unternehmen zu erpressen.
Andere Payloads, die durch die kürzliche Ausnutzung von Log4j verloren gegangen sind, sind:
- BillGates-Malware (DDoS)
- Kinsing (Kryptominer)
- XMRig (Kryptominer)
- Muhstik (DDoS)
