Af Eskil Sørensen, 06/04/21
Et botnet, der er rettet mod Windows-enheder, vokser hurtigt i størrelse takket være en ny infektionsteknik, der gør det muligt for malware at sprede sig fra computer til computer. Det skrev Tech Crunch en artikel før Påske på baggrund af et blogindlæg fra sikkerhedsvirksomheden Guardicore.
Det drejer sig om en 'Purple Fox'-malware, der første gang blev set i 2018, og som spredte sig via phishing-e-mails og exploit-kits. Altså den klassiske måde for trusselsaktører til at inficere maskiner ved hjælp af eksisterende sårbarheder.
Ifølge Guardicores blogindlæg fremgår det, at malware nu retter sig mod internetvendte Windows-computere med svage adgangskoder, hvilket giver malware fodfæste til at kunne sprede sig hurtigere.
Svaghed i SMB-komponent
Malwaren spredes ved, at det forsøger at gætte svage adgangskoder i Windows-brugerkonti via SMB-komponenten. SMB er en kompontent, der lader Windows tale med andre enheder, fx printere og filservere. Når malwaren først får adgang til en sårbar computer, trækker den en ondsindet payload fra et netværk med 2.000 ældre og kompromitterede Windows-webservere og installerer et rootkit. Dette sikrer, at malwaren bliver forankret i computeren, samtidig med at den bliver meget sværere at blive opdaget eller fjernet.
Når computeren er inficeret, lukker malwaren derefter portene i den firewall, den indledningsvist brugte til at inficere computeren med, sandsynligvis for at forhindre reinfektion, eller at andre trusselsgrupper kan kapre den allerede hackede computer.
Malwaren genererer derefter en liste over internetadresser og scanner internettet for sårbare enheder med svage adgangskoder for at inficere yderligere. Dette skaber et botnet, der vokser i størrelse.
Et billigt botnet
Botnets dannes, når hundreder eller tusinder af hackede enheder bliver inddraget i et netværk, der drives af kriminelle operatører. De bruger botnettene til fx Ddos-angreb, kampagner med spredning junkmail, malware og ransomware på de inficerede computere.
Men denne form for ormeagtigt botnet udgør ifølge Guardicore en større risiko, da den stort set spredes alene og er billigere at køre end phishing- og exploit kits. Det ses også af tallene, idet Purple Fox-infektioner ifølge Guardicores eget netværk af internetsensorer er steget med 600% siden maj 2020. Det vurderes, at det faktiske antal infektioner vil sandsynligvis være langt højere og udgøre mere end 90.000 infektioner i det forløbne år.
Guardicore har offentliggjort IoC’er for at hjælpe netværk med at identificere, om de er blevet inficeret. Forskerne ved ifølge TechCrunch ikke, hvad botnettet vil blive brugt til, men advarer om, at dets voksende størrelse udgør en risiko - også på længere sigt.
Links
https://techcrunch.com/2021/03/23/wormable-windows-botnet-ballooning/
https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/