Se ha observado que un nuevo malware de botnet basado en Mirai llamado Enemybot aumenta su ejército de dispositivos infectados a través de vulnerabilidades en módems, enrutadores y dispositivos IoT, con el actor de amenazas que lo opera conocido como Keksec.

El grupo de amenazas en particular se especializa en criptominería y DDoS; ambos respaldados por malware de botnet que puede anidar en dispositivos IoT y secuestrar sus recursos computacionales.

Enemybot presenta ofuscación de cadenas mientras que su servidor C2 se esconde detrás de los nodos Tor, por lo que mapearlo y eliminarlo es todo un desafío en este momento.

Aún así, los analistas de amenazas de Fortinet lo detectaron en la naturaleza , quienes probaron el malware, lo analizaron y publicaron un informe técnico detallado sobre sus funciones.

Las capacidades de Enemybot
Cuando un dispositivo está infectado, Enemybot comienza conectándose al C2 y esperando los comandos para ejecutar. La mayoría de los comandos están relacionados con ataques DDoS (denegación de servicio distribuido), pero el malware no se limita estrictamente a ellos.

Más específicamente, Fortinet presenta el siguiente conjunto de comandos compatibles:

• ADNS: realizar un ataque de amplificación de DNS
• ARK – Realiza un ataque a los servidores del juego “ARK: Survival Evolved”
• BLACKNURSE: inunde el objetivo con mensajes ICMP de puerto de destino inalcanzable
• DNS: servidores DNS de inundación con consultas UDP de DNS codificadas
• MANTENER: inunde el objetivo con conexiones TCP y manténgalas durante un tiempo específico
• HTTP: inunde el objetivo con solicitudes HTTP
• BASURA: inunde el objetivo con paquetes UDP aleatorios que no sean de cero bytes
• OVH: Inunde los servidores de OVH con paquetes UDP personalizados
• STD: inunde el objetivo con paquetes UDP de bytes aleatorios
• TCP: inunde el objetivo con paquetes TCP con encabezados de origen falsificados
• TLS: realiza un ataque SSL/TLS
• UDP: inunde el objetivo con paquetes UDP con encabezados de origen falsificados
• OVERTCP: realice un ataque TCP con intervalos de entrega de paquetes aleatorios
• DETENER: detener los ataques DoS en curso
• LDSERVER: actualiza el servidor de descarga para explotar la carga útil
• ESCÁNER: se propaga a otros dispositivos a través de SSH/Telnet fuerza bruta y exploits
• SH – Ejecutar comando de shell
• TCPOFF/TCPON: active o desactive la detección en los puertos 80, 21, 25, 666, 1337 y 8080, posiblemente para recopilar credenciales

Comparación de códigos de escáner Enemybot y Mirai (Fortinet)

Los comandos dirigidos al juego ARK y los servidores de OVH son de especial interés, lo que puede indicar campañas de extorsión dirigidas a estas empresas.

Además, el comando LDSERVER permite a los actores de amenazas enviar nuevas URL para las cargas útiles a fin de solucionar cualquier problema en el servidor de descarga. Eso es notable porque la mayoría de las botnets basadas en Mirai tienen una URL de descarga fija y codificada.

Arcos y defectos específicos

Enemybot apunta a múltiples arquitecturas, desde las comunes x86, x64, i686, darwin, bsd, arm y arm64, hasta tipos de sistemas más escasos y obsoletos como ppc, m68k y spc.

Esto es muy importante para las capacidades de propagación del malware, ya que puede identificar la arquitectura del punto pivote y obtener el binario coincidente del C2.

Binarios vistos en el servidor de descarga expuesto
(Fortinet)

En términos de vulnerabilidades objetivo, Fortinet ha visto algunas diferencias en los conjuntos entre las variantes muestreadas, pero las tres presentes en todas partes son:

• CVE-2020-17456 : falla crítica (CVSS 9.8) de ejecución remota de código (RCE) en los enrutadores Seowon Intech SLC-130 y SLR-120S.
• CVE-2018-10823 : falla de RCE de gravedad alta (CVSS 8.8) que afecta a varios enrutadores DWR de D-Link.
• CVE-2022-27226 : inyección de cronjob arbitraria de alta gravedad (CVSS 8.8) que afecta a los enrutadores móviles iRZ.

Modificando el crontab en el dispositivo de destino (Fortinet)

Otras fallas que pueden o no estar presentes en Enemybot dependiendo de la variante son:

• CVE-2022-25075 a 25084: conjunto de fallas dirigidas a enrutadores TOTOLINK. El mismo conjunto también es explotado por la botnet Beastmode
• CVE-2021-44228/2021-45046: Log4Shell y las vulnerabilidades críticas posteriores dirigidas a Apache Log4j
• CVE-2021-41773/CVE-2021-42013: se dirige a servidores Apache HTTP
• CVE-2018-20062: Objetivos ThinkPHP CMS
• CVE-2017-18368: se dirige a los enrutadores Zyxel P660HN
• CVE-2016-6277: se dirige a enrutadores NETGEAR
• CVE-2015-2051: se dirige a enrutadores D-Link
• CVE-2014-9118: se dirige a los enrutadores Zhone
• Exploit NETGEAR DGN1000 (sin CVE asignado): se dirige a los enrutadores NETGEAR

Mantenga las botnets fuera

Para evitar que Enemybot o cualquier otra botnet infecte sus dispositivos y los reclute en botnets DDoS maliciosos, siempre aplique las últimas actualizaciones de software y firmware disponibles para su producto.

Si su enrutador deja de responder, la velocidad de Internet disminuye y se calienta más de lo normal, es posible que esté lidiando con una infección de malware de botnet.

En este caso, realice un restablecimiento completo manual en el dispositivo, ingrese al panel de administración para cambiar la contraseña de administrador y finalmente instale las últimas actualizaciones disponibles directamente desde el sitio web del proveedor.