Noabot, uma variante do Mirai que afeta dispositivos baseados em Linux

David Y. Naranjo

Minutos 4

Noabot

Noabot, um botnet que afeta dispositivos Linux

Há vários dias, foram divulgadas informações on-line sobre um novo malware direcionado a dispositivos baseados em Linux. Batizado como "Noabot", é uma variante customizada do Mirai, que vem comprometendo dispositivos pelo menos desde o ano passado e foi detectado por pesquisadores de segurança cibernética.

Para quem não sabe Olha, você deve saber que este é um malware que infecta dispositivos IoT baseados em Linux, como servidores, roteadores e webcams, para formar botnets que realizam ataques em larga escala, como ataques de negação de serviço (DDoS). O código-fonte do Mirai foi publicado em 2016, permitindo que outros criem suas próprias variantes, como Noabot, para realizar seus próprios ataques.

Sobre Noabot

O perigo de Noabot reside na sua capacidade de instalar software de mineração de criptomoedas em dispositivos comprometidos, bem como sua capacidade de ocultar seu funcionamento interno, dificultando sua detecção e remoção.

Olhar, Conhecido pela sua capacidade de propagação e pela sua utilização em ataques distribuídos de negação de serviço (DDoS), distingue-se pelo seu design como um worm, o que significa que se replica quando infecta um dispositivo Linux. Seu método tradicional de propagação envolve a varredura na Internet em busca de dispositivos que aceitem conexões Telnet, tentando quebrar senhas padrão ou comuns. Depois de infectar um dispositivo, ele procura outros dispositivos para infectar da mesma maneira.

No entanto, NoaBot tem uma abordagem diferente, já que em vez de visar senhas Telnet fracas, o NoaBot ataca senhas fracas que permitem conexões SSH. Além disso, ao contrário do Mirai, o NoaBot não é usado para realizar ataques DDoS. Em vez disso, instala software de mineração de criptomoedas, como uma versão modificada do XMRig, para que os agentes da ameaça possam gerar criptomoedas usando os recursos das vítimas.

Além disso, o NoaBot tem sido usado para espalhar o P2PInfect, um worm independente revelado por pesquisadores da Palo Alto Networks. Nos últimos 12 meses, a Akamai monitorou o NoaBot em um honeypot que simula dispositivos Linux reais, rastreando vários ataques em estado selvagem. Os ataques vieram de 849 endereços IP diferentes, a maioria dos quais provavelmente hospeda dispositivos já infectados.

“À primeira vista, o NoaBot não é uma campanha muito sofisticada. É “simplesmente” uma variação do Mirai e de um minerador de criptomoedas XMRig, que são comuns hoje em dia. No entanto, ofuscações adicionadas ao malware e adições ao código-fonte original pintam um quadro muito diferente das capacidades dos atores da ameaça”, escreveu Stiv Kupchik, principal pesquisador de segurança da Akamai.

De acordo com os pesquisadores da Akamai, a capacidade mais avançada do NoaBot é como o botnet instala sua variante do software de mineração de criptomoeda XMRig. O NoaBot apresenta uma série de recursos incomuns que o distinguem de outras variantes de malware, como o Mirai, e tornam mais difícil para os pesquisadores de segurança detectar e analisar:

  1. Configurações criptografadas ou ofuscadas- O NoaBot armazena parâmetros de configuração criptografados ou ofuscados e os descriptografa apenas quando o XMRig é carregado na memória, garantindo a privacidade dos atores da ameaça. As strings legíveis por humanos incluídas no código do NoaBot são ofuscadas em vez de salvas em texto simples, dificultando a extração de detalhes do binário.
  2. Usando UClibc: o NoaBot é compilado usando a biblioteca de códigos UClibc em vez da biblioteca GCC usada pelo Mirai padrão, o que pode alterar a forma como os programas antivírus detectam e classificam o NoaBot.
  3. Detecção difícil: o NoaBot é compilado estaticamente e sem símbolos, dificultando a engenharia reversa e a análise de malware.
  4. Execução aleatória: o binário NoaBot é executado a partir de uma pasta gerada aleatoriamente no diretório /lib, dificultando a detecção de infecções em dispositivos.
  5. Dicionário personalizado- O NoaBot substitui o dicionário Mirai padrão por um dicionário maior e personalizado, tornando os testes de força bruta para senhas mais complicados.
  6. Apontar para SSH: NoaBot troca o scanner Telnet da Mirai por um scanner SSH personalizado.
  7. Capacidades de intrusão: o NoaBot possui recursos pós-intrusão, como a instalação de uma nova chave SSH autorizada que permite ao invasor acessar como backdoor para baixar e executar binários adicionais ou transmiti-los para novos dispositivos.

finalmente se você está interessado em saber mais sobre o assunto, você pode verificar os detalhes em o seguinte link.