Hlavní navigace

Postřehy z bezpečnosti: zablokování botnetu Glupteba

13. 12. 2021
Doba čtení: 5 minut

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na konec botnetu Glupteba, na těžbu bitcoinů na zařízeních QNAP, na aktivní zneužívání zranitelností v produktech Hikvision a TP-Link, na škodlivé balíčky v registru NPM a na další zajímavosti.

Konec botnetu Glupteba

Google TAG (Threat analysis group) v úterý oznámila „zablokování” botnetu Glupteba. Jedná se o botnet cílící na počítače s operačním systémem Windows. Mezi jeho schopnosti patří krádež uživatelských hesel, cookies, těžení kryptoměn, nasazování a provoz proxy a infekce dalších strojů na lokální síti pomocí EternalBlue a DoublePulsar.

Tento botnet používá na distribuci nových adres řídících serverů BTC blockchain. Tyto adresy jsou navíc šifrovány pomocí AES-256 GCM. I přes tuto skutečnost se však týmu společnosti Google podařilo zaslat novější transakci, která všechny boty odkáže na novou adresu řídícího serveru. Vše je realizováno tak, že nová doména vrací prázdný DNS A záznam (NOERROR nikoliv NXDOMAIN). To vlastně ve výsledku znamená, že se skupině TAG podařilo získat privátní klíče k jedné z bitcoinových peněženek určených pro aktualizace.

Kromě technického opatření za účelem zablokování botnetu se Google vydal i soudní cestou a podal žalobu na operátory botnetu  ve víře ve vytvoření právního precedentu namířeného proti provozovatelům ostatních botnetů.

V době citovaného oznámení čítal Glupteba botnet přibližně jeden milion zařízení. Jak jsme sami měli možnost si povšimnout díky projektu ADAM, hned za necelé první dva dny šlo jenom z českých IP adres přes 280 dotazů na tuto doménu (v rámci našich serverů ODVR). Bohužel dostupná data jsou anonymizovaná, takže nejsme schopni informovat provozovatele postižených sítí. Závěrem jen dodáme, že respektujeme rozhodnutí původních autorů a doménu nezveřejníme. Nicméně zvědavci na ni na základě poskytnutých informací mohou přijít.

NAS zařízení QNAP jsou cílem nového bitcoin mineru

Najdete-li ve svém QNAP NAS proces [oom_reaper], který využívá více než 50 procent celkové kapacity CPU, tak byste měli zpozornět. Mohlo by se jednat o malware, který napodobuje normální, legitimní proces kernelu a přitom skrytě těží bitcoiny. Podle společnosti QNAP je většinou PID legitimního procesu nižší než 1000, zatímco PID bitcoinového mineru je číslo vyšší než 1000.

Škodlivé balíčky v registru NPM

V registru balíčků NPM bylo objeveno nejméně 17 škodlivých balíčků. Jedná se o další podvodné balíčky, které se znovu objevují prostřednictvím open-source repozitáře, jako jsou například Pypi a RubyGems. Společnost DevOps Jfrog uvedla, že všechny škodlivé knihovny by měly být odstraněny.

Podle tvrzení společnosti byly navrženy tak, aby odchytávaly přístupové tokeny Discordu a další užitečné informace, které by jim pomohly získat plný přístup k zařízení oběti. Výzkum také poukázal na to, že komunikační aplikace jako Discord a Slack se staly oblíbenými mechanismy pro útočníky. Jak se ukázalo, útočníci využívají Discord CDN k hostování škodlivých souborů, nebo pro „command-and-control (C&C)“ komunikaci.

Balíček „prerequests-xcode“ navíc fungoval jako plnohodnotný trojan pro vzdálený přístup, který je schopen pořizovat snímky obrazovky, ukládat data ze schránky, spouštět libovolný kód VBScript a PowerShell, krást hesla a stahovat škodlivé soubory. Veřejná úložiště se v poslední době stala velice užitečným nástrojem pro distribuci malwaru.

Kampaň MANGA cílí na routery TP-Link

V současné době probíhají aktivně útoky na routery TP-Link (TL-WR840N EU (V5)), které obsahují chybu CVE-2021–41653 umožňující vzdálené vykonání kódu. Útočníci jsou v tomto případě velmi rychlí, protože od zveřejnění chyby do spuštění kampaně uplynulo sotva 14 dnů. Napadené routery jsou používány k DDoS útokům.

Další informace o zranitelnosti lze získat na stránkách firmy Fortinet, která aktivně monitoruje šíření botnetu vytvořeného během této kampaně. Podrobnější informace o této zranitelnosti naznačují, že ke zneužití chyby a spuštění kódu v operačním systému zařízení je nutné znát autentizační údaje ke stránce diagnostických nástrojů routeru, které jsou ve výchozím stavu nastaveny na admin/admin. Co nejdříve tedy nastavte silná hesla a aktualizujte firmware. Kombinace admin/admin je druhá nejčastější, kterou útočníci zkoušejí na našich honeypotech.

Zranitelnost v URI

Když se veřejnost informuje, bývá zranitelnost již opravena. Běžný postup je ten, že lovec odměn nahlásí společnosti svůj objev a dá jí čas na nápravu. V momentě, kdy je vydána záplata, se pak zveřejní detaily. Jinak je tomu v případě v případě nálezu německé firmy Positive Security, která zjistila závadu v protokolu „ms-officecmd:“.

Pokud URI začíná řetězcem „http:“, prohlížeč ví, že se bude jednat o přenos hypertextu a že chcete webovou stránku. Použijete-li protokol „mailto:“, prohlížeč se zeptá systému, jakého e-mailového klienta má spustit pro napsání e-mailové zprávy na danou adresu. Jiný protokol může spustit aplikaci na telefonování, stahování torrentu a další si můžete nastavit sami. Systém Windows v sobě ve výchozím stavu obsahuje množství přednastavených protokolů a zranitelných může být více, tento „ms-officecmd:“ se používá ke spouštění desktopových aplikací Office.

Microsoft sice po pěti měsících vydal nenápadně záplatu, která měla zranitelnost odstranit, to se však údajně nepovedlo – Positive Security říká, že vadná injekce argumentu je stále možná i v poslední verzi Windows 11, a veřejně si stěžují, protože dle nich jim Microsoft zaplatil jen část odměny, vypsanou pro vážné zranitelnosti.

Ruský cenzor

Adventní období v Rusku s sebou přineslo nepříjemnou nadílku. Od začátku prosince probíhá v Rusku koordinovaná akce proti Toru. Někteří poskytovatelé připojení (Rostelecom, MTS a Tele 2) začali blokovat uživatelům přístup k této síti.

Ruský federální úřad Roskomnadzor také rozhodl o blokování stránek samotného projektu Tor (www.torproject.org). Ten ve svém prohlášení mimo jiné vyzývá, aby lidé pomohli v boji proti blokování zprovozněním dalších Tor bridgů.

Aby toho nebylo málo, tak také přibylo šest nových služeb VPN, které byly úřadem Rozkomnadzor zakázány – celkový počet tak vzrostl na patnáct. Důvodem je prý nesplnění požadavků, aby tyto VPN byly napojeny na informační systém FGIS a umožňovaly tak blokování zakázaných stránek.

ICTZ23

Mootbot využívá opravenou chybu k šíření

Botnet Mootbot, který slouží k provádění DDoS útoků, využívá RCE zranitelnost v produktech Hikvision. Oprava byla uvolněna již v září, přesto však lze na Internetu najít zranitelná zařízení.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu ALEF-CSIRT a bezpečnostního experta Jana Kopřivy. Více o seriálu…

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.