Arhiva tag-ul pentru: botnet

Mirai Botnet – România – Implicare – Detecție

Botnet-ul Mirai, pare a nu mai fi un super subiect, deși exploatează o gamă largă de dispozitive aflate online.

Ce face Mirai Botnet? Simplu! Am mai discutat despre el!
https://www.prodefence.ro/mirai-botnet-berbew-backdoor-ip-urile-de-iot-din-romania-folosite-in-activitati-ilegale/

De asemenea, au existat și alte avertizări!


Execută comenzile hackerilor, indiferent care ar fi acestea: scanarea altor dispozitive, furt de date, forțarea datelor de acces, distribuire de malware …etc.
Dar, principala utilizare a fost integrarea acestora într-o armată digitală, deservind la atacuri în masă a altor rețele, cunoscutele atacuri DDOS.
Simplicat la maxim… face ca dispozitivul infectat să devină un sclav al dorințelor hackerilor.

Sursă: imperva.com

Partea interesantă este că botnet-ul se instalează în dispozitive mai puțin securizate și mai puțin verificate de deținători: routere, console gaming, dispozitive smart folosite în locuințe etc, astfel fiind mai greu de detectat activitățile acestuia.

Detecție

Sursă:https://threatmap.checkpoint.com/

Detecția botnet-ului este simțită deseori de deținători, dar ignorată.. din lipsă de educație cibernetică și este trecută la categoria ”..iar face figuri net-ul..”

Când este sesizabilă acțiunea unui botnet?
Atunci când primește comanda de scanare a altor dispozitive sau în cazul unui atac de tip DDOS, deoarece folosește foarte mult trafic.
Dar dacă este setat să acționeze în intervale de timp bazate pe fusul orar, cel mai probabil va folosi traficul atunci când noi suntem la somn sau în afara orelor de muncă.

Avem și 2 variante mai bune de detecție.

Varianta de contractare a unui specialist sau instalarea unei aplicații de monitorizare/ alertare.
Monitorizarea traficului, analizarea acestuia și descoperirea dispozitivului/ lor compromise.
*Această variantă este pentru Instituții, firme private sau persoane care vor sa stie ce se întâmplă cu dispozitivele lor.

Sau folosirea platformelor online, în speranța că IP-ul folosit a fost interceptat ca având activități suspicioase.

Un astfel de tool este Mirai tracker!
Arată ultima activitate stocată și o serie de alte platforme, care sunt sursa tracker-ului.

De exemplu, pentru a găsi IP-urile de România, se adaugă ”RO” în căsuța de Search.

Iar adresa finală va fi: https://mirai.security.gives/index.php?search=RO

*la fel poate fi folosit pentru orice altă țară!

O altă platformă foarte folosită este GreyNoise.

Rezultatele sunt destul de clare. 370 de Ip-uri au sau avut legătură cu semnatura botnet-ului Mirai.

De asemenea, se poate folosi Google search. Se adaugă IP-ul dorit, iar rezultatele vă vor indica prezența acestuia pe anumite platforme.

Pentru evitarea unor situații, cel mai bine este să evitați folosirea unor dispozitive vechi sau care nu permit actualizarea.
Iar dacă totuși ”..iar face figuri net-ul..” prea des, este bine să anunțați firma de la care aveți internet, IT-istul Instituției unde lucrați sau un specialist care să vă îndrume.

Dacă vei alege varianta clasică: ”Nu are ce să îmi ia mie!” și vei ignora, nu faci decât să accepți faptul că ajuți la succesul ilegalităților cibernetice. Casa sau biroul tău, vor fi un punct de trecere deschis, pentru infractorii cibernetici.

În rest, totul ok!

Mirai botnet – Berbew backdoor – Ip-urile de IoT din Romania folosite in activitati ilegale.

Nu mai este o noutate în a avea acasă sau la birou un router, camere Ip, frigidere smart, Smart Tv, încuietori de ușă, console gaming sau orice altceva din gama IoT. Foarte multe Ip-uri au in inventarul lor diferite dispozitive conectate la internet, iar o parte din ele sunt vulnerabile la atacuri hacking sau setările sunt slabe, din punct de vedere al securității cibernetice.
Metodele de hacking au evoluat, nu este nevoie sa caute un dispozitiv anume, sau un oarecare IP pentru ca hackerul sa planteze un virus, nu! In fiecare secundă mii de aplicații scanează tot ce miscă pe internet și caută vulnerabilitați în funcție de: dispozitiv,an fabricatie, vulnerabilitate, tara etc, forțează logarea cu parole de producător (admin/admin , admin/password, root/password, admin/123456 .. etc).
În momentul când aplicațiile au găsit ceva, fie raportează și hackerul merge mai departe, fie instalează direct ceea ce sunt programate să instaleze pe dispozitivele accesate.
Dacă vă gândiți la ce poate să facă cu aceste dispozitive… nu este greu de clarificat!
Activitățile ilegale vor fi stabilite în funcție de: puterea și capacitățile dispozitivului, rețeaua de internet, program online, țara de proveniență etc.


Sursă: researchgate.net

Care ar fi aceste activități?
Scanare pentru a găsi alte dispozitive,
Atac împotriva altor dispozitive, cunoscutul DDOS care poate bloca rețele, instituții, spitale.
Folosirea IP-ului pentru furt bancar, fraude… da! Ghici la cine vine Poliția prima data?
Cam tot ce vă puteți imagina, sau nu!

Și da, noi ne ocupam de Romania!
Liste intregi de IP-uri deținute de Romania sunt folosite la astfel de infracțiuni cibernetice!

Am câteva exemple active, pentru a putea înțelege fenomenul.

86.123.xxx.126 static-86-123-xxx-126.rdsnet.ro
89.121.xxx.159 adsl89-121-xxx-159.romtelecom.net
82.79.150.xxx 84.150.xxx.82.static.cluj.rdsnet.ro
79.118.xxx.239 79-118-xxx-239.pitesti.rdsnet.ro
212.93.xxx.120 212-93-xxx-120.static.rdsor.ro
188.24.xxx.94 188-24-xxx-94.rdsnet.ro
… puțin modificate, pentru a nu da idei!
Revenim, ce sunt aceste IP-uri? Camere conectate la internet, televizoare, console gaming sau orice altceva este conectat la internet!
Dispozitive ce pot aparține unei case, unei firme, camerele unui spital, sau sau sau…

Ce au in comun aceste IP-uri și toate celelalte Ip-uri gasite? Anumite fișiere, ce nu ar trebui să fie pe respectivele dispozitive!
Și mai au în comun niște fișiere: i, Mozi, apk, mips, arm, arm7, mps1, sh, sh4, sparc, exe, zip, doc


Clar că acel 38/59 NU este de bine, iar tag-urile incadrate cu roșu sunt de la ceva suspicios.
Dacă vreți, puneți pe Google și vedeți că am dreptate.

Descrierea celor 2 exemple Mirai și Berbew backdoor se gaseste tot pe Google și destul de explicativă, dar mă repet, Nu este de bine!

Problema este însă cu mult mai gravă. Așa cum am menționat într-un articol acum ceva timp, prin 2019, erau 12,382 Ip-uri folosite pentru activități ilegale și discutăm despre cele descoperite la vremea aceea.

Ce se poate face?
Aici răspunsul nu este chiar simplu!
Din punctul nostru de vedere, un prim pas ar fi ca firmele de internet sa iși mareasca spectrul filtrelor pentru a depista problemele, când cumpărăm un dispozitiv smart, ar trebui să cautăm ceva actualizat, setările dispozitivelor să fie facute corect(schimbare nume dispozitiv, schimbare parolă, control al dispozitivelor ce se conectează.. etc), cand nu stim… să căutam ajutor la cei ce se pricep … sunt multe de facut, dar de multe ori totul se rezumă la resurse; un dispozitiv bun costa, o filtrare mai amănunțită reduce traficul, apelarea la specialiști in securitate cibernetică costă.

Listă cu IP-uri suspecte:
https://www.malwareurl.com/listing.php?as=AS8708&active=on&view=all


Așa că fiecare decide în funcție de valoarea pe care o dă vieții sale private, protejarea familiei, a bunurilor, a firmei, a reputației.
Unii înțeleg în timp util, alții doar după ce au devenit victime sau indiferența lor a dăunat altor persoane dragi.

Nu știu ce vei face, dar eu închei aici acest articol, menționând un ultim lucru:
Toate aceste articole scrise pe anumite subiecte, securitatea cibernetică… in cazul nostru, sunt create pentru a vă ajuta!
Și sperăm să rămâneți cu ceva după tot ceea ce ați citit!

Atenție la detalii!!!

Informațiile introduse în articol sunt publice.
Sursa: Google

Virusul bancar ICEDID (BOKBOT) prezent pe serverele si domeniile din Romania. – Analiza malware pentru toți!

Așa cum am menționat și in articolele precedente, a deține o pagină web aduce de la sine o responsabilitate.
Timpurile paginilor ce erau …sparte și hackerul înlocuia index-ul pentru a se mândri cu isprava sa… au cam trecut.

O pagina vulnerabilă înseamnă încă un magazin deschis pentru hackeri. Vor folosi pagina pentru a raspândi fișiere infectate, redirecționări spre alte pagini, stocare de fișiere malware/ date și astfel deținătorul de pagină devine un susținător al activităților ilegale, fără a cunoaște acest lucru.

În urma cautărilor zilnice (activitate standard a celor din domeniul securității cibernetice..), echipa a descoperit legături intre virusul bancar și domeniile din Romania.
Drept urmare, in continuare vom detalia puțin informațiile gasite și speră să fie înțeleasă gravitatea situației.

Vom face o analiză simplă, fără a fi nevoie de cunoștințe aprofundate în analiză malware.

ICEID (BOKBOT)
Virus bancar descoperit de analiști prin Septembrie 2017.
Este răspândit catre victime cu ajutorul paginilor web prin injectarea alterarea acestora, sau prin intermediul mesajelor trimise prin email, cărora le sunt atașate anumite fișiere capcană.

În cazul de fața virusul a fost plasat către victime prin email.
De înțeles faptul că emailul poate conține texte prin care atacatorul manipulează victima, invocând diverse scenarii, încât acesta să descarce documentul din atașament.
Acest document poate avea diverse denumiri, în funcție de ținta atacatorului. În unele cazuri, când ținta este foarte clară, acesta va folosi exact ce ar avea credibilitate pentru victimă.

Exemple:
Pentru firme: Factura, Instiintare, Avertisment, Cerere, Raspuns la cerere, Ordin de plata etc;
Pentru persoane: Factura, Cupon, Reducere, Avertizare etc.
Scopul este foarte clar: Convingerea petențialei victime să descarce și să deschidă documentul atașat!

Emailul în cauză are un document atașat și îl vom denumi Factura.doc.
La deschiderea documentului textul era ascuns sub pretextul că nu este activă o anumită funcție și se cere activarea ei.
* Nu este nevoie să îl deschideți, vreau doar să vedeți cum arată!

Puteți vedea cum arată documentul și prima reacție a scriptului, DACĂ activați funcțiile cerute.

Ok. Punem documentul pe VirusTotal.com, să vedem ce informații poate să ne ofere.


Ok, hai să vedem ce informații avem despre acest document și ce putem găsi noi! Link VirusTotal
Detecție 37/63. Adica, 37 din cele 63 de soluții antivirus ne spun că este un virus!
Toate acele cuvinte cheie vă vor arata da explicații despre document folosind Google search: docx, email-pattern, enum-windows, exe-pattern, handle-file, obfuscated, open-file, run-dll, url-pattern, write-file.
Pentru a ușura căutările vă ajut cu cele ce atrag atenția:
macros (functie de automatizare a documentului sau un șir de comenzi vizibile sau invizibile) – interesant nu?
obfuscated (metodă de ascundere a unui funcții, cod sursă, comenzi…)
url-pattern (ce este url-ul? o adresă http(s): ….., deci posibil să existe un url în document)
Încercați Google search pentru a găsi informații!

Încă nu sunteți convinși de existența virusului și documentul este foarte … important?!?
OK!
Mergem la pagina detalii: Detalii VirusTotal

În aceasă pagină gasim multe informații despre documentul scanat!

Hmmm… din limbile declarate sau găsite, cam ne dăm seama de unde provine documentul…
Aplicația clară Microsoft Word,
Ținta de bază este un script… unde apare și o pagină web românească
Documentul a fost creat: 27.02.2020
Și Название = Nume… :)

Mergem mai departe…
Relațiile/ conectările documentului cu alte surse: Link

A fost scanat pe VirusTotal in data de 07.03.2020, detectie 5/72 și era in legătură directă cu pagina românească.
Restul sunt scanări ale documentului, având ca sursă alte pagini web.

Comportamentul documentului în calculator, la activare.

Detaliile continuă și puteți vedea comportamentul documentului.
Aici se clarifică și relația dintre virus și pagina românească.
Pagina este folosită pentru ca documentul să descarce virusul de pe adresa sa.
Hackerul a încărcat virusul: /wp-content/uploads/2020/02/0303/ginndoe.jp

Avem și comenzile executateZXTRTU.exe

Aici lucrurile sunt deja clare:
– Documentul este deschis cu Microsoft Word, este activată acea funcție de editare/ vizualizare a conținutului.
-Se executa comanda de descărcare a documentului ginndoe.jp de pe pagina web.
-Documentul ginndoe.jp aruncă virusul în C cu denumirea ZXTRTU.exe( vezi foto 2 unde apare execuția)
Powershell-ul cere o pauza de 4 secunde (powershell -C Sleep -s 4) după care îi dă fișierului ZXTRTU.exe comanda de start (Saps C:\DiskDrive\1\Volume\BackFiles\ZXTRTU.exe)

Informații bune putem primi și de la comunitatea VirusTotal! Link detalii

Da… chiar foarte utile!
Se pare că același virus are legătură și cu o altă pagină românească!
Acolo a fost încarcat fișier .doc, deci nu virusul așa cum am văzut pe celălalt domeniu .ro.

Hai să găsim ceva informații despre domeniile .ro găsite.

Ambele găzduite pe Romarg, domenii .ro, Ip-uri diferite
Cataclean Eroare 404 – Nu îl gasește,
Ventilatoar-aer – În construcție
Posibil ca deținătorii s[ fi fost anunțați și au luat măsuri imediat!

În concluzie, nu trebuie să fie cineva expert pentru a putea verifica un document suspect, un email venit „urgent”.
Așa cum am spus și în postări anterioare, mai ales pe Facebook: La tot ce vedeți, trebuie să puneți semnul întrebării!!!
Chiar este email de la un prienten?
Dece mi-a trimis șeful ordinul de plată prin email?
etc…

Informațiile prezentate au surse publice:
https://www.malware-traffic-analysis.net/2020/03/03/index2.html
https://www.virustotal.com/gui/file/3b9c6e35c90a3ef5f90cbecd6ad257d4d296832b00ef7dff00ecfabae4206559/detection

Ca și bonus o să postez și scanarea botnet-ului: ZXTRTU.exe

Relația cu aceste domenii poate fi de trimitere/ descărcare date.

Atenție la detalii!!!