Qihoo 360 Netlab specialisten bestudeerde de Roboto botnet, die zijn voortgekomen deze zomer. Botnet Roboto valt Webmin-kwetsbaarheid op Linux-servers aan.
ikin augustus 2019, informatiebeveiligingsexperts meldden dat er een achterdeur werd ontdekt in Webmin, een populaire systeembeheeroplossing voor Unix-systemen (zoals Linux, FreeBSD, of OpenBSD).de kwetsbaarheid CVE-2019-15107 stond een aanvaller toe om willekeurige code uit te voeren op het doelsysteem met superuser-rechten.
“Aangezien het misbruiken van de kwetsbaarheid niet moeilijk was, slechts een paar dagen na de bekendmaking van de bug-informatie, kwetsbare versies van Webmin werden aangevallen”, – schrijven experts van Qihoo 360 NetLab.
Opgemerkt moet worden dat volgens officiële ontwikkelaars, Webmin buik Meer dan 1,000,000 installaties. Shodan ontdekt dat meer dan 230,000 daarvan zijn toegankelijk via internet, en volgens BinaryEdge, Meer dan 470,000 installaties zijn kwetsbaar en toegankelijk via internet. Natuurlijk, zo'n "tidbit" moest worden opgemerkt door hackers.
“Het Roboto-botnet was een van de eersten die misbruik maakte van de kwetsbaarheid in Webmin. Geïntroduceerd in augustus 2019, Roboto is de laatste tijd vooral betrokken bij ontwikkeling, met evolutie van niet alleen een grootte van het botnet, maar ook van de complexiteit van de code”, – schrijven onderzoekers van Qihoo 360 NetLab.
Hoewel het hoofddoel van het botnet zeker is om DDoS-aanvallen uit te voeren, experts hebben Roboto het nog niet zien doen. Onderzoekers zijn van mening dat hoewel botnet-operators vooral bezig zijn met het vergroten van het botnet, ze hebben de daadwerkelijke aanvallen nog niet bereikt.
Lees ook: De beroemde infostealer “Agent Tesla” heeft een ongebruikelijke druppelaar
Volgens analisten, het botnet kan DDoS regelen met ICMP, HTTP, TCP en UDP. In aanvulling op, Robot, geïnstalleerd op gehackte Linux-machines, Kan:
- werken als een omgekeerde shell, waarmee een aanvaller shell-opdrachten kan uitvoeren op een geïnfecteerde host;
- informatie verzamelen over het systeem, processen en netwerk van de geïnfecteerde server;
- upload verzamelde gegevens naar een externe server;
- systeem uitvoeren () commando's;
- voer een bestand uit dat is gedownload van een externe URL;
- zichzelf verwijderen.
Een ander interessant kenmerk van Roboto is de structuur van het interne ontwerp. Bots hier zijn georganiseerd in een P2P-netwerk en verzenden opdrachten die ze ontvangen van de beheerserver naar elkaar. daarom, niet elke bot communiceert afzonderlijk met de beheerserver. Het feit is dat P2P-communicatie niet zo gebruikelijk is in DDoS-botnets (je kunt je herinneren Hajime En Verstoppertje botnets als voorbeelden).
Als gevolg, de meeste Roboto-bots zijn eenvoudige "zombies" die zich bezighouden met het verzenden van opdrachten, terwijl anderen werken aan het ondersteunen van een P2P-netwerk of scannen op andere kwetsbare Webmin-installaties om het botnet te vergroten.
