Nós nos infiltramos em um botnet IRC. Aqui está o que encontramos
Nossa equipe de investigação realizou uma operação de infiltração contra um botnet IRC e relatou ao CERT Vietnã para ajudar a derrubá-lo.
A fim de reunir informações valiosas sobre a atividade do botnet IRC, nos juntamos ao seu canal de Comando e Controle, onde encontramos o botmaster que era responsável por rodar toda a rede de sistemas comprometidos. Também usamos essa oportunidade de infiltração para aprender os motivos do botmaster e o possível propósito do botnet IRC.
O que se segue é uma história de como conseguimos detectar uma tentativa de infectar um de nossos sistemas e como nossa curiosidade nos levou a uma entrevista improvável com o mestre de bots de uma espécie rara e agonizante de um botnet. Veja como tudo aconteceu.
Sobre esta investigação
Para conduzir essa investigação, nosso pesquisador se infiltrou em um botnet IRC que capturamos em um de nossos honeypots. Ao conversar com o botmaster, o pesquisador tentou descobrir para que o botnet IRC está sendo usado, bem como se os cibercriminosos que o controlavam estavam envolvidos em outras atividades.
Após entrevistar o botmaster, o pesquisador relatou o botnet ao CERT, para que ele pudesse fechar o servidor de comando e controle do botnet.
Como encontramos o botnet IRC
A infiltração de uma operação cibercriminosa pode fornecer dados valiosos sobre diferentes tipos de atividades maliciosas, incluindo ataques DDoS , distribuição de malware e muito mais. É por isso que nossos pesquisadores usam várias estratégias de detecção de ciberataque e estão sempre em busca de possíveis oportunidades de interceptação e infiltração.
Em setembro deste ano, uma dessas oportunidades se apresentou a um de nossos pesquisadores.
Nossa configuração de honeypot
Em termos de segurança cibernética, um honeypot é um serviço ou sistema chamariz que se apresenta como um alvo para agentes mal-intencionados. Quando direcionado por um agente de ameaça, o sistema honeypot usa sua tentativa de intrusão para obter informações valiosas sobre o invasor.
Para capturar malware e monitorar ataques cibernéticos pela Internet em tempo real, executamos vários sistemas honeypot que estão contidos em ambientes de execução isolados, também conhecidos como contêineres. Um dos sistemas honeypot que executamos em um contêiner é um Honeypot Cowrie, que é projetado para detectar e registrar ataques de força bruta , bem como interações de shell (tentativas de um agente de ameaça de criar um túnel de comunicação malicioso entre eles e a máquina comprometida) que são executados por um invasor ou script de um invasor.
Detecção inicial: alguém está tentando nos infectar
No final de setembro, percebemos uma tentativa de baixar um arquivo malicioso em uma das máquinas conectadas ao nosso honeypot Cowrie:
O arquivo malicioso continha um script Perl projetado para infectar a máquina host e permitir que o invasor execute comandos remotos no sistema.
Investigamos o arquivo e determinamos que o programa malicioso usado pelos invasores foi provavelmente criado em 2012 pela W0rmer Security Team, uma equipe de hackers aparentemente extinta que estava ligada ao infame grupo hacktivista Anonymous.
Enquanto investigávamos o script, descobrimos que esse programa malicioso é usado para recrutar a máquina host em um botnet IRC. Isso realmente despertou nosso interesse, porque os botnets IRC, embora relativamente difundidos no passado, são considerados uma raridade em 2020. Eles são relativamente fáceis de derrubar e existem botnets muito maiores alimentados por tecnologias mais recentes, como a Internet das Coisas (IoT )
Um botnet vintage, raramente visto na natureza
Analisando ainda mais o código, observamos que o programa malicioso era capaz de realizar ataques DDoS sobre UDP, TCP, HTTP e outros protocolos e executar comandos que apontavam para o programa sendo usado para campanhas de negação de serviço distribuída (DDoS) :
Também pudemos identificar o endereço IP e o número da porta do servidor de comando e controle do botnet, bem como os apelidos do botmaster e o canal de IRC que foi usado para controlar os bots.
Isso nos levou a acreditar que acabamos de encontrar um botnet IRC – uma espécie de botnets velha e moribunda, raramente encontrada nesta era de redes massivas de dispositivos IoT infectados.
As redes de Internet Relay Chat (IRC) usam métodos de comunicação simples e de baixa largura de banda. Isso os torna adequados para hospedar servidores centralizados que podem ser usados para controlar remotamente grandes coleções de máquinas infectadas (chamadas de ‘zumbis’ ou ‘bots’). Essas coleções de bots infectados controlados por canais de IRC são chamados de botnets de IRC e ainda são usados por cibercriminosos para espalhar malware e realizar ataques DDoS em pequena escala.
Reconhecimento: Juntando-se ao canal de IRC do botmaster
Com as informações adquiridas em mãos, aproveitamos para fazer o reconhecimento. Queríamos descobrir o máximo que pudéssemos sobre esse botnet vintage e os cibercriminosos por trás dele. Depois de coletar dados suficientes para derrubar o botnet, reportaríamos tudo o que descobríssemos às autoridades competentes.
Nosso pesquisador começou o reconhecimento conectando-se ao endereço do servidor IRC encontrado no arquivo malicioso para ver se o servidor botnet ainda estava ativo.
Isso foi:
Empolgado com a descoberta, o pesquisador se juntou ao canal IRC que era usado para comunicação entre os bots e o botmaster. O que eles descobriram foi um botnet IRC funcionando com nada menos que 137 sistemas comprometidos. A maioria dos zumbis foi chamada de “lol-XXXX” e estava atualmente conectado ao centro de comando e controle do botnet, com 241 bots sendo o número máximo para este botnet em particular:
Isso significava que o botnet IRC não era muito significativo em escala e poderia, com toda a probabilidade, ser usado apenas para realizar pequenos ataques DDoS ou cometer outros atos maliciosos relativamente em pequena escala.
Conforme continuamos a observar o botnet nos próximos dias, o número de bots continuou flutuando. No entanto, foi diminuindo com o tempo.
A entrevista: puxando conversa com o botmaster
Antes de agirmos contra o botnet IRC, queríamos averiguar os motivos do botmaster: por que eles estavam operando este botnet? Eles executaram alguma outra operação criminosa também?
Além disso, precisávamos saber para que exatamente o botnet estava sendo usado. Para obter essas respostas, nosso pesquisador ( BLUE ) iniciou uma conversa com o botmaster ( RED ) no canal IRC.
Depois de um breve vaivém, o botmaster convidou o pesquisador a se mudar para o Discord, provavelmente pensando que o pesquisador era um colega cibercriminoso.
Assim que o pesquisador entrou no canal Discord do botmaster, eles notaram que ele estava povoado por quatro usuários que foram previamente informados de que nosso pesquisador havia entrado no servidor IRC do botnet.
Não apenas isso, mas o botmaster também aparentemente já sabia que sua atividade maliciosa foi capturada em um honeypot, uma vez que os honeypots são amplamente usados para detectar tais botnets.
Logo depois, o botmaster expressou frustração com as pessoas (eles usaram um termo muito menos caridoso) frequentemente tropeçando em seu servidor de IRC. Eles afirmaram que geralmente lidam com esses intrusos realizando ataques DDoS contra eles.
Teste, backdoors e dinheiro
Depois de um bate-papo relativamente inconseqüente, o pesquisador começou a interrogar gentilmente o botmaster sobre o propósito do botnet IRC. O botmaster forneceu várias respostas, alegando usar a rede para ataques DDoS, bem como “testes”, “backdoors” e “dinheiro”.
Embora possamos apenas especular quanto ao verdadeiro propósito desse botnet IRC relativamente pequeno e muito antigo, o botmaster provavelmente o estava usando para realizar testes de malware ou experimentar plantar e executar várias explorações em sistemas comprometidos.
Um cibercriminoso infame e um aspirante a YouTuber?
À medida que a entrevista prosseguia, o ego do botmaster parecia ficar maior a cada pergunta subsequente. No final da conversa, eles afirmaram ter operado um botnet que abrangia incríveis 100.000 (!) Dispositivos IoT, um botnet muito grande para os padrões atuais. Com um botnet desse tamanho, eles seriam capazes de realizar ataques DDoS em grande escala e lançar campanhas massivas de spam.
E a gabolice não parou por aí. O botmaster então afirmou ser o cérebro do crime por trás do infame ataque DynDNS , o ataque cibernético massivo que derrubou inúmeros sites nos Estados Unidos e na Europa, incluindo Twitter, Reddit, Netflix, CNN e muitos outros em 2016 .
Esse tipo de bravata descarada é particularmente comum entre os cibercriminosos. Desnecessário dizer que o botmaster não forneceu nenhuma prova para sua reivindicação quando solicitado a fazê-lo.
Quando questionado sobre suas atividades atuais, o botmaster afirmou estar acumulando redes de dispositivos comprometidos e vendendo-os por US $ 3.000 para outros cibercriminosos.
Desta vez, o botmaster até forneceu a prova na forma de um vídeo promocional. Após uma investigação mais aprofundada, o pesquisador descobriu mais vídeos no canal do botmaster no YouTube, apresentando vários anúncios de botnets à venda.
De acordo com o botmaster, esses botnets variam de 100 Gbps a 300 Gbps. Gigabits por segundo (Gbps) são usados para medir o tamanho e a capacidade de memória ou largura de banda de um botnet – quanto maior a largura de banda, maiores os ataques DDoS que o botnet pode realizar. Os botnets anunciados pelo cibercriminoso teriam largura de banda suficiente para lançar ataques DDoS direcionados em média escala que poderiam paralisar vários serviços online.
Finalmente, o botmaster alegou que eles tinham 7.000 dispositivos / bots IoT comprometidos em seu botnet atual, e que o botnet IRC encontrado pelo pesquisador foi usado apenas para testes.
Um final abrupto
No que diz respeito às conversas com cibercriminosos, esta estava indo muito bem, e foi então que decidimos tentar a sorte e pedir ao botmaster uma entrevista oficial que faríamos anonimamente. Isso nos permitiria aprofundar os motivos do botmaster e talvez obter insights mais valiosos sobre suas outras operações.
Infelizmente, assim que nosso pesquisador revelou sua identidade profissional e fez seu pedido, o botmaster prontamente recusou e silenciou o rádio.
Nossa única opção daquele ponto em diante era relatar o botnet IRC ao CERT no Vietnã, onde o servidor de comando e controle do botnet estava aparentemente localizado. Informamos o CERT Vietnã sobre o botnet em 26 de outubro, e a equipe de resposta a emergências de computador do país está atualmente trabalhando para desligar o servidor de comando e controle do botmaster.
Fonte: https://cybernews.com/security/we-infiltrated-an-irc-botnet-heres-what-we-found/