BOTNET

18/jul/2019 16:00:00 Jean Duarte Botnet, Vulnerabilidades, Mirai

As botnets são ameaças reais de forma direta ou indireta às organizações de todos os portes. Com rápida escalabilidade devido a diferentes infecções por malwares, uma pessoa mal-intencionada pode deter o controle de seus ativos e conseguir documentos, logins, banda, poder computacional ou ataques variados em alvos.

imgbotblog

 

Echobot Botnet

Em 2016, a botnet Mirai foi utilizada para divulgar centenas de campanhas de malwares pelo mundo, causando danos a diversos indivíduos e empresas.

Recentemente, PaloAlto Networks© revelou a última variante desta botnet, apelidada de Echobot, com aproximadamente 18 exploits - sendo 8 mais recentes e não encontrados na Mirai.

Atualmente, essa botnet contém 26 tipos de exploits, com vulnerabilidades novas e antigas.


Listagem de vulnerabilidades

Uma grande variedade de vulnerabilidades novas e antigas sendo utilizadas, todas associadas à execução de código remoto ou inserção de comando, de 2009 até 2019.

Os alvos, também mistos, mostram uma grande variação de ambientes, desde soluções residenciais - como câmeras WiFi, rotadores D-link, LinkSys - até Oracle WebLogic© e VMWare NSX SD-WAN Edge.

 

imgbot2

 

 

GoldBrute botnet

Coincidentemente, pouco tempo após o anúncio da vulnerabilidade chamada BlueKeep (CVE 2019-0708), a botnet GoldBrute surge procurando serviços RDPs e efetuando brute-force ao redor do globo.

Hoje, de acordo com a engine Shodan, existem mais de 3 milhões de serviços expostos e o Brasil é o 4º na lista, atrás apenas da Alemanha, Estados Unidos e China.

Revelada em meados de maio de 2019, BlueKeep, como tem sido chamada, é a vulnerabilidade que permite a execução de comando no sistema remoto através do RDP. Com ela, é possível instalar e executar programas, exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.

→ Devido à gravidade da falha, a Microsoft decidiu corrigir inclusive sistemas já antigos e sem suporte por End of Life. As correções podem ser encontradas em: https://support.microsoft.com/pt-br/help/4500705/customer-guidance-for-cve-2019-0708

→ PoC publicada pela McAfee com sistema sendo afetado pelo BlueKeep: https://youtu.be/syF6rSM0JSM

 

 

 

 

 

 

Prevenção & Remediação

Recomendações para BlueKeep:

  • Atualizar o OS
  • Desabilitar RDP nos ativos em que não são necessários
  • Criar política de firewall filtrando origem
  • Criar VPN para acesso externo ao servidores
  • Habilitar NLA para RDP
  • Desabilitar a reconexão automática na política dos ativos com RDP

 

 

Recomendações para Echobot:

  • Bloqueio de NS: pw and akuma.pw
  • Bloqueio de IPs: 80.211.224.232, 80.211.168.74 (Itália)
  • Bloqueio de Ips: 198.54.117.200 (EUA)
  • Desabilitar Telnet e SSH em ativo sem a necessidade
  • Desabilitar UPnP
  • Auditar devices IoTs
  • Efetuar update de firmware sempre que possível

 

Recomendações para GoldBrute:

  • Bloqueio de IPs: 104.248.167.144 (Download Server)
  • Bloqueio de IPs: 104.156.249.231 (C2 Server)
  • Desabilitar RDP publicado em ativo sem a necessidade
  • Revisar política de senhas seguras
  • Revisar tempo para troca de senhas seguras
  • Atualizar ativos de segurança com o hash SHA256:
    af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e

 

New Call-to-action  

 

Nova call-to-action