Goldoon botnet napada D-Link ranjivost

Goldoon botnet je mreža zaraženih uređaja koja iskorištava poznatu ranjivost CVE-2015-2051, koja ima kritičan bezbjednosni uticaj i omogućava daljinsko izvršavanje kôda. Ovaj botnet posebno cilja D-Link rutere na kojima napadač kompromitovanjem uređaja dobija potpunu kontrolu nad njim. Botnet je otkrio FortiGuard Labs u aprilu 2024. godine i primijećen je kako otprema zlonamjerni kôd na Linux arhitekture dok briše tragove zlonamjerne aktivnosti, što otežava otkrivanje.

Goldoon

Goldoon botnet napada D-Link ranjivost; Source: Bing Image Creator

D-LINK RANJIVOST (CVE-2015-2051)

Goldoon botnet cilja na ranjivosti u D-Link ruterima, posebno na ranjivost CVE-2015-2051, kako bi stekao neovlaštenu kontrolu nad pogođenim uređajima. CVE-2015-2051 ranjivost je jednu deceniju stara bezbjednosna ranjivost koja leži u interfejsu protokola kućne administracije mreže (eng. Home Network Administration Protocol – HNAP) D-Link uređaja.

Omogućava udaljenim napadačima da izvršavaju proizvoljne komande koristeći posebno kreirane HTTP zahteve, dajući im potpunu kontrolu nad zaraženim ruterima. Botnet je prvi put primijećen početkom aprila 2024. godine i koristi ovu ranjivost da inficira rutere zlonamjernim softverom. Sigurnosni istraživači su upozorili vlasnike D-Link rutera na ovu prijetnju i savjetovali da preduzmu korake da obezbijede svoje uređaje ažuriranjem upravljačkog softvera (eng. firmware) ili onemogućavanjem HNAP funkcionalnosti ako nije potrebna.

Jednom kada Goldoon botnet kompromituje ruter, zlonamjerni akteri mogu izvući informacije iz sistema, uspostaviti veze sa kontrolnim serverom i koristiti zaraženi uređaj za dalje zlonamjerne aktivnosti. Neke od ovih aktivnosti uključuju sprovođenje napada distribuiranog uskraćivanja usluge (eng. Distributed Denial of Service – DDoS).

 

“Ako je ciljani uređaj kompromitovan, napadači mogu dobiti potpunu kontrolu, omogućavajući im da izvuku sistemske informacije, uspostave komunikaciju sa C2 serverom, a zatim koriste ove uređaje za pokretanje daljih napada, kao što je distribuirano uskraćivanje usluge (DDoS).”

 – Cara Lin i Vincent Li, Fortinet FortiGuard Labs –

 

Goldoon ubacivač

Ubacivač je zlonamjerna skripta ili datoteka koju koristi Goldoon botnet da dobije početni pristup i kompromituje ciljane uređaje. Funkcioniše kao program za instalaciju za Goldoon zlonamjerni softver, postavljajući teren za dalje zlonamjerne aktivnosti kada je uređaj kompromitovan. Ubacivač počinje svoj napad tako što iskorištava CVE-2015-2051 ranjivost. Ova skripta je dizajnirana da se sama briše kako bi se izbjeglo otkrivanje i može da radi na različitim arhitekturama Linux sistema, uključujući ali ne ograničavajući se na aarch64, arm, i686, m68k, mips64, mipsel, powerpc, s39x, sparc64, x8664, sh4, riscv64, DEC Alpha i PA-RISC.

 

Goldoon preuzimanje

Nakon što je se iskoristi CVE-2015-2051 ranjivost za dobijanje pristupa na scenu stupa softver za preuzimanje (eng. Downloader). Primarna funkcija softvera za preuzimanje uključuje preuzimanje i izvršavanje datoteke pod nazivom “goldoon” sa udaljenog servera, što postavlja teren za dalje zlonamjerne aktivnosti. Da bi izvršio ovaj zadatak, softver za preuzimanje prvo dešifruje određene stringove koristeći XOR ključ pod nazivom “YesItsAnAntiHoneypotBaby.”. Dešifrovani nizovi se zatim kombinuju sa “/bins” da bi se konstruisao pun jedinstveni identifikator resursa Uniform Resource Identifier – URI za preuzimanje botnet datoteke.

Program za preuzimanje koristi čvrsto kodirano zaglavlje User-Agent, “FBI-Agent (Checking You)”, kada šalje zahteve zlonamjernom serveru za preuzimanje krajnjeg korisnog tereta. Ovo obmanjujuće zaglavlje ima za cilj da zaobiđe bezbjednosne mjere i spriječi otkrivanje. Kada se preuzme, on izvršava datoteku odmah nakon podešavanja dozvole. Nakon izvršenja, softver za preuzimanje čisti svoje tragove tako što uklanja izvršenu datoteku, a zatim se briše kako bi izbrisao svaki trag svoje aktivnosti. Ovo povećava botnet prikrivenost, što otežava bezbjednosnim rješenjima da otkriju i ublaže prijetnju.

 

GOLDOON BOTNET

Primarni cilj Goldoon zlonamjernog softvera je da uspostavi stalnu vezu sa svojim serverom za komandu i kontrolu (C2) radi primanja instrukcija o tome koje radnje da izvrši sljedeće. Ova botnet veza omogućava primanje komandi prilagođenih određenim ciljevima ili mrežama, što ga čini adaptivnom prijetnjom koja može da evoluira na osnovu novih ranjivosti ili vektora napada.

Jedno od Goldoon početnih ponašanja uključuje postavljanje metoda automatskog pokretanja da opstane u kompromitovanim sistemima. Ovo osigurava da čak i ako se korisnik ponovo pokrene uređaj ili ga ugasi i zatim ponovo pokrene, Goldoon će se automatski pokrenuti nakon pokretanja, osiguravajući njegovo kontinuirano prisustvo u ciljnom okruženju. Nakon toga, Goldoon transformiše uređaj u bot uređaj, dodajući ga u botnet pod kontrolom botnet operatera. Zlonamjerni softver zatim prikuplja informacije o cilju, kao što su njegova IP adresa i port, pa čak i provjerava da li je ciljna IP adresa IPv6.

Goldoon takođe koristi različite tehnike kako bi izbjegao otkrivanje tokom početnih faza infekcije. Na primjer, Goldoon koristi enkripciju pomoću WolfSSL i postavlja Google DNS servere kao razrješivače tokom početnog procesa povezivanja. Ove mjere pomažu u obezbjeđivanju njegovih komunikacionih kanala i održavanju anonimnosti tokom obavljanja zlonamjernih aktivnosti. Kada se jednom postigne postojanost na ciljnom sistemu, Goldoon može da izvodi razne zlonamjerne radnje na osnovu komandi primljenih sa svog C2 servera. Neka od ovih ponašanja uključuju:

  1. Goldoon je sposoban da pokrene različite tipove DDoS napada kao što su TCP flooding i ICMP flooding i specijalizovaniji napadi kao što je Minecraft DDoS, što može izazvati značajne poremećaje kako na pojedinačnim ciljevima tako i na većim mrežama. Ovi napadi su dizajnirani da preplave ciljane sisteme prekomjernim saobraćajem ili zahtevima, čineći ih negirajućim ili nedostupnim legitimnim korisnicima,
  2. Goldoon može dobiti instrukcije od svog C2 servera da ukrade osjetljive podatke sa kompromitovanih hostova,
  3. Goldoon se takođe može koristiti za aktivnosti kriptovalute, gdje tajno rudari kriptovalute u ime napadača koristeći resurse zaraženih sistema. Ovo ne samo da stvara prihod za napadače, već i dodatno opterećuje ciljane mreže i uređaje,
  4. Botnet može dobiti uputstva za traženje novih ranjivosti ili eksploatacije, što mu omogućava da proširi svoj domet inficiranjem više uređaja i njihovim dodavanjem pod svoju kontrolu. Ovaj eksponencijalni rast može dovesti do značajne štete ako se ne kontroliše,
  5. Goldoon bi moglo biti naloženo da preuzme i distribuira dodatni zlonamjerni softver na kompromitovanim sistemima, dodatno proširujući površinu napada,
  6. Botnet može da izvršava proizvoljne komande primljene sa svog C2 servera, omogućavajući napadačima da obavljaju različite zadatke. Ova mogućnost može dovesti do značajne štete ako se koristi zlonamjerno,
  7. Goldoon može presresti i preuzeti kontrolu nad sesijama udaljene radne površine (RDP) na kompromitovanim sistemima, dajući napadačima direktan pristup zaraženim mašinama i omogućavajući im da s lakoćom obavljaju razne zlonamjerne aktivnosti.

 

“Sajber kriminalci iznajmljuju kompromitovane rutere drugim kriminalcima, a najvjerovatnije ih takođe stavljaju na raspolaganje komercijalnim rezidencijalnim proxy provajderima.”

 Trend Micro report

ZAKLJUČAK

Goldoon je aktivan botnet koji koristi CVE-2015-2051 ranjivost u D-Link uređajima i transformiše kompromitovane uređaje u bot uređaje za dalju upotrebu u botnet mreži inficiranih uređaja. Kritični bezbjednosni uticaj ove ranjivosti je visok, jer uspješna eksploatacija može dovesti do daljinskog izvršavanja kôda i dodavanja kompromitovanih uređaja u botnet. Goldoon botnet je primjer kako zlonamjerni akteri nastavljaju da se razvijaju i iskorišćavaju ranjivosti na uređajima interneta stvari (IoT), kojima često nedostaju neophodna bezbjednosna ažuriranja i zaštite. Otkriće ovog novog botneta služi kao podsjetnik da se bezbjednost IoT uređaja mora ozbiljno shvatiti i ažurirati kako bi se zaštitili od takvih prijetnji. Organizacije i pojedinci moraju da daju prioritet bezbednosti IoT uređaja tako što će ažurirati svoje uređaje najnovijim ispravkama i zaštitama zbog zaštite od takvih prijetnji.

 

ZAŠTITA

Kako bi se zaštitila mreža od Goldoon botnet opasnosti, od suštinskog je značaja slijediti najbolje prakse za obezbjeđivanje internet rutera i drugih povezanih uređaja. Evo nekoliko preporučenih koraka:

  1. Osigurati redovno ažuriranje upravljačkog softvera na uređajima na najnoviju verziju. Ažuriranja često uključuju bezbjednosne ispravke koje mogu pomoći u zaštiti od poznatih ranjivosti. D-Link i drugi proizvođači rutera često objavljuju ispravke za rešavanje bezbjednosnih problema,
  2. Koristite jake lozinke  za sve administrativne pristupe na ruterima. Izbjegavati korištenje podrazumijevanih ili lozinki koje je lako pogoditi. Razmisliti o primjereni autentifikaciju u dva koraka ako je dostupna,
  3. Onemogućavanjem nepotrebnih usluga i portova, smanjuje se površina napada. Omogućiti samo one usluge i portove koji su potrebni za funkcionalnost mreže,
  4. Koristiti liste kontrole pristupa (eng. Access Control Lists – ACL) kako bi se ograničio pristup određenim IP adresama ili podmrežama, ograničavajući potencijalnu izloženost mreže,
  5. Vršiti redovno praćenje mrežnog saobraćaja u potrazi za bilo kakvim neobičnim aktivnostima, kao što su veliki obim odlaznog saobraćaja ili ponovljeni neuspjeli pokušaji prijave. Ovo može pomoći da se rano otkriju potencijalne botnet infekcije i da se adekvatno odgovori na njih,
  6. Implementirati rješenje zaštitnog zida koje može da zaštiti od DDoS napada i drugog zlonamjernog saobraćaja. Razmislite o korišćenju komercijalne usluge zaštitnog zida ako mreža zahteva dodatnu zaštitu,
  7. Vršiti edukaciju korisnika i uvjeriti se da su svi korisnici na mreži svjesni rizika povezanih sa botnet mrežama i elektronskom poštom za “pecanje. Ohrabrite korisnike da koriste jake lozinke, izbjegavaju klikove na sumnjive veze ili preuzimanje neprovjerenih priloga i prijavite sve potencijalne bezbjednosne incidente,
  8. Koristiti pouzdani antivirusni softver i redovno skenirati uređaje u potrazi za infekcijama zlonamjernim softverom. Ovo može pomoći u sprečavanju širenja botnet zlonamjernog softvera unutar mreže,
  9. Implementirati rješenje za filtriranje sadržaja kako bi se blokirao pristup poznatim phishing lokacijama, zlonamjernim internet stranicama ili drugim potencijalno štetnim izvorima,
  10. Redovno praviti rezervne kopije svih kritičnih podataka na svojim uređajima i čuvajte rezervne kopije van mreže ili u oblaku. Ovo može pomoći da se minimizira uticaj bilo kakvih potencijalnih botnet napada koji mogu da ugroze mrežu.

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.