Los hackers están esclavizando los servidores Linux que ejecutan instalaciones Webmin sin parches en una nueva botnet, llamada Roboto por investigadores de seguridad de 360 Netlab que lo han observado durante casi tres meses.
Las actividades de la botnet Roboto se descubrieron cuando el equipo de investigación detectó un archivo ELF sospechoso (4cd7bcd0960a69500aa80f32762d72bc) en agosto de este año y durante su análisis determinó que se trataba de un programa bot P2P. Varios meses después, el honeypot de la empresa capturó otra muestra ELF sospechosa (4b98096736e94693e2dc5a1361e1a720), que resultó ser el módulo de descarga de la muestra ELF sospechosa anterior. El objetivo principal del descargador es descargar el programa encriptado Roboto bot desde una URL específica. Más tarde, el programa malicioso lo descifrará y ejecutará.
Los investigadores creen que la botnet Roboto también tiene un módulo de escaneo de vulnerabilidades y un módulo de control P2P, pero hasta ahora no han logrado recuperar estos componentes.
Un análisis más profundo de las muestras capturadas reveló que la botnet Roboto admite principalmente 7 funciones, como shell inverso, autodesinstalación, ejecución de comandos del sistema, recopilación de información de red y bot del proceso, ejecutar archivos cifrados especificados en URL y la capacidad de iniciar DDoS ataques El módulo DDoS de Roboto admite cuatro tipos de métodos de ataque DDoS: ICMP Flood, HTTP Flood, TCP Flood y UDP Flood, pero a pesar de tener la funcionalidad DDoS, parece que los ataques DDoS no son el objetivo principal de Roboto ya que los investigadores hasta ahora no han detectado ni siquiera un solo comando de ataque DDoS.
Roboto expande su red de bots al comprometer a los servidores Linux que ejecutan la herramienta de administración de sistemas basada en la web Webmin vulnerable a una falla RCE registrada como SB2019081608 (CVE-2019-15107) . La vulnerabilidad afecta a las versiones de Webmin anteriores e incluyendo la v1.921 (este problema puede mitigarse actualizando a Webmin 1.930 o deshabilitando la opción 'cambio de contraseña de usuario'). Según la página de GitHub de Webmin, tiene "más de 1,000,000 de instalaciones en todo el mundo" y los resultados de búsqueda generados por los motores de búsqueda Shodan y BinaryEdge muestran que hay más de 700,000 servidores Webmin accesibles, aunque es necesario decir que no todos ellos ejecutan Linux o Una versión vulnerable del software.
Además de utilizar el protocolo de comunicación P2P (que rara vez se ve en las botnets DDoS), la botnet Roboto “utiliza Curve25519, Ed25519, TEA, SHA256, HMAC-SHA256 y otros algoritmos para garantizar la integridad y seguridad de sus componentes y la red P2P, crear la secuencia de comandos de arranque automático de Linux correspondiente basada en el sistema de destino y disfrazar sus propios archivos y nombres de procesos para obtener un control de persistencia ", encontraron los investigadores.
Netlab360 recomienda a los usuarios de Webmin que comprueben si están infectados comprobando el proceso, el nombre del archivo y la conexión de red UDP, y bloqueen los nombres de dominio, IP y URL relacionados con la botnet Roboto. Todos los Indicadores de Compromiso (IoC), incluidos los hash de muestra de malware, las direcciones de servidor y las IP pares codificadas se proporcionan en la última parte del informe Netlab360 .
https://www.cybersecurity-help.cz/blog/787.html
