InfectedSlurs botnet napada rutere i NVR uređaje
InfectedSlurs botnet napada rutere i NVR uređaje u aktivnoj kampanji koristeći dvije ranjivosti nultog dana koje omogućavaju napadačima daljinsko izvršavanje kôda (eng. remote code execution – RCE) pomoću kojih ove uređaje povezuje u botnet zasnovan Mirai kôdu koji se koristi za DDoS napade.
Sigurnosni istraživači kompanije Akamai su prvi otkrili ovaj botnet krajem oktobra 2023. godine, međutim prve informacije o aktivnosti ove botnet mreže su identifikovane krajem 2022. godine. Prema dostupnim informacijama pogođeni proizvođači uređaja još uvijek nisu izdali ažuriranja za ove ranjivosti, pa su detalji o ranjivostima dostupni samo proizvođačima.
OTKRIVANJE INFECTEDSLURS
Akamai sigurnosni tim (eng. Akamai Security Intelligence Response Team – SIRT)je prvi put primijetio botnet u oktobru 2023. godine kao neuobičajenu aktivnost na rijetko korištenom TCP portu koji je ciljao njihovu medenu zamku (eng. honeypot). Aktivnost se sastojala od pokušaja autentifikacije putem POST zahtjeva praćenih pokušajima ubacivanjem komandi.
Na osnovu prikupljenih podataka sigurnosni istraživači su izvršili skeniranje uređaja dostupnih na Internetu i identifikovali da su uređaji ciljani ovim napadom povezani sa proizvođačem NVR uređaja čije ime nije navedeno iz bezbjednosnih razloga.
“SIRT je izvršio brzu provjeru za CVE za koje se zna da utiču na NVR uređaje ovog dobavljača i bio je iznenađen kada je otkrio da gledamo na novu ranjivost nultog dana koji se aktivno koristi u divljini. Kroz proces odgovornog otkrivanja, proizvođač nam je saopštio da radi na popravci koja će vjerovatno biti dostupna u decembru 2023.”
– Akamai izvještaj –
Detaljnija analiza ovog napada je pokazala da zlonamjerni softver u ovom napadu koristi fabričke podatke za prijavu na uređaje dokumentovane u uputstvima proizvođača za više NVR uređaja kako bi se izvršilo instaliranje bot klijenta i izvršile druge zlonamjerne radnje.
Pored toga, detaljnija analiza je pokazala da ovaj napad cilja i na bežične LAN rutere popularne kod kućnih korisnika i hotela na koje se odnosni druga ranjivost nultog dana. I u ovom slučaju nije naveden proizvođač uređaja kako bi mu se omogućilo da izda adekvatna ažuriranja za ovu ranjivost, koja bi trebalo da budu dostupna krajem decembra 2023. godine.
INFECTEDSLURS FUNKCIONISANJE
InfectedSlurs je dobio naziv zbog korištenja uvredljivog jezika u komandnim i kontrolnim serverima C2 i tvrdo kôdiranim nizovima. Ovaj botnet je ustvari varijanta Mirai botnet mreže zaraženih uređaja koja koristi stariju varijantu JenX Mirai zlonamjernog softvera. Postoji mnogo C2 domena i IP adresa povezanih sa ovim napadom koji podržavaju ovu tvrdnju.
Sigurnosni istraživači su otkrili da je napravljeno izuzetno malo izmjena u odnosu na originalni Mirai botnet tako da je InfectedSlurs DDoS alat koji se sam širi i podržava napad korištenjem SYN, UDP i HTTP GET umnožavanja zahtjeva.
Primijećeno je da InfectedSlurs po ugledu na Mirai botnet ne sadrži mehanizma za održavanje postojanosti na inficiranim uređajima. Uzimajući u obzir da trenutno nema dostupnih ažuriranja za ove ranjivosti nultog dana, ponovno pokretanje rutera i NVR uređaja može privremeno da poremeti infekciju uređaja.
ZAKLJUČAK
Ovaj primjer pokazuje značaj korištenja medenih zamki koje su posebno dizajnirane da namame i otkriju zlonamjerne aktere u sajber bezbjednosti kao važnog strateškog alata koji daje neprocjenjiv uvid u način razmišljanja napadača i njihove taktike, tehnike i procedure. Korištenje medenih zamki kao odbrambenog alata omogućava rano otkrivanje i kontinuirano poboljšanje odbrambenih mjera u digitalnom bezbjednom okruženju koje se stalno razvija.
S obzirom na to da medene zamke oponašaju ranjiva okruženja u stvarnom svijetu, znanje koje mogu pružiti braniocima je vjerovatno najvrednije znanje koje treba steći. Odbrambene prakse zasnovane na stvarnosti – pre nego na strahu, neizvesnosti i sumnji – pružaju mnogo proaktivniju strategiju koja omogućava preciziranje bezbjednosnih mjera i povećava ukupnu otpornost na sajber napade.
ZAŠTITA
Kao i kod svake prijetnje za koju ne postoji dostupno ažuriranje, ublažavanje opasnosti je od najveće važnosti. Korisnici mogu pratiti sljedeće savjete kako bi se zaštitili:
InfectedSlurs infekcija
- Provjeriti da li u upotrebi ima uređaja koji koriste fabričke lozinke. U slučaju da ima, iste obavezno promijeniti.
- Ako korisnici imaju ranjive uređaje u svom okruženju, preporučuje se da se uradi njihova izolacija i praćenje za potencijalnom infekcijom uređaja.
DDoS napadi
- Kako bi se zaštitili od DDoS napada korisnicima se preporučuje da prate CISA preporuke.
- Izvršiti ispitivanje kritičnih mrežnih segmenata i IP adresa kako bi se omogućilo efektno sprovođenje mjera ublažavanja.
- Podesiti proaktivne kontrole preko firewall-a u oblaku. Ovaj spoljni firewall služi kao moćan alat koji se lako primjenjuje i prilagođen korisniku za efikasno blokiranje neželjenog saobraćaja na globalnom i centralnom nivou, štiteći korisničke mreže i specifične ciljeve unutar organizacije.