Si chiama HEH la nuova botnet che, scoperta dal team di sicurezza Netlab di Qihoo 360, dirotta dispositivi IoT connessi a Internet per eseguire principalmente attacchi DDoS e mining illecito di criptovalute.
Implementata in linguaggio Go 1.15.1 e dotata di un protocollo peer-to-peer (P2P) proprietario, si diffonde tramite attacchi brute force del servizio Telnet sulle porte 23/2323 e può eseguire anche comandi shell arbitrari.
Come riportano gli stessi ricercatori, le analisi eseguite dimostrano che i campioni di botnet HEH scoperti finora (l’identificativo HEH scelto dai ricercatori deriva dal nome del progetto campione scoperto) supportano diverse architetture CPU tra cui x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) e PowerPC (PPC): ciò significa che il malware HEH può colpire praticamente qualsiasi dispositivo, dai router di casa ai server aziendali, passando per i dispositivi smart connessi alla rete (smart speaker, device per la domotica e l’automazione industriale e via dicendo).
Sebbene il malware HEH sia ancora in fase di sviluppo, dai campioni isolati è stato possibile analizzare una sua struttura modulare indicata nella figura sottostante: un modulo di propagazione, un modulo di servizio HTTP locale e un modulo P2P.
Indice degli argomenti
Le fasi di funzionamento della botnet HEH
Analizzando i campioni del malware HEH, gli analisti di Netlab hanno scoperto che la botnet, dopo essere stata scaricata ed eseguita tramite uno script Shell denominato wpqnbw.txt, si occupa di distribuire programmi binari per tutte le diverse architetture di CPU indicate prima, prelevandoli da un sito Web pomf[.cat.
All’avvio, vengono quindi attivati alcuni parametri necessari alla botnet per identificare, ad esempio, l’indirizzo IP della macchina compromessa o di un determinato peer utilizzato per la diffusione del malware. Tra questi parametri, gli analisti hanno puntato la loro attenzione soprattutto sul Daemon Flag, scoprendo che se è impostato sul valore 3, allora verrà abilitata la modalità di funzionamento daemon della botnet.
Successivamente il demone avviato procederà ad interrompere una serie di processi di servizio in base a determinati numeri di porta di comunicazione di rete.
Completata anche questa fase, viene inizializzato il modulo P2P composto principalmente da tre componenti e che tiene traccia di una lista dei peer facenti già parte della botnet HEH:
- componente Ping: verrà inviato ad intervalli regolari un comando Ping per rintracciare i peer della botnet;
- componente di aggiornamento peer: verranno inviati ad intervalli regolari dei comandi di aggiornamento peer;
- componente servizio UDP: il servizio peer locale della botnet è un servizio UDP. Questo servizio monitora i dati o le istruzioni inviate da altri peer, analizza le istruzioni ed esegue le relative operazioni corrispondenti. Diversi i comandi eseguibili via shell tra i quali riavviare il bot, aggiornare l’elenco dei peer, terminare l’esecuzione del e addirittura un comando di autodistruzione. Sebbene un comando “Attack” debba ancora essere implementato dagli autori della botnet, questa componente consente all’aggressore di eseguire comandi shell arbitrari, inclusi quelli che gli consentono di cancellare tutti i dati dal dispositivo compromesso attivando un comando di autodistruzione.
Infine, solo dopo che il bot ha eseguito il modulo P2P, verrà avviata l’attività di forza bruta contro i servizi Telnet in ascolto sulle porte 23 e 2323, in modo parallelo. Quindi si completerà la propagazione. Nella fattispecie, qualora venisse trovato un servizio Telnet aperto sulla porta 23 o 2323, l’attacco di forza bruta viene sferrato utilizzando un dizionario composto da 171 username e 504 password. Solo in caso di successo, la vittima appena infettata viene aggiunta alla botnet consentendo ai criminal hacker di estenderne il raggio di azione.
In conclusione
Come affermato dai ricercatori di Netlab “il meccanismo di funzionamento di questa botnet non è ancora maturo […] e alcune funzioni importanti come il modulo di attacco non sono ancora state implementate. Anche l’implementazione P2P ha ancora dei difetti […] e l’intera botnet è ancora considerata centralizzata, poiché attualmente il nodo bot non può inviare comandi di controllo”.
Detto questo, concludono gli analisti, “la struttura P2P nuova e in via di sviluppo, il supporto dell’architettura di CPU multiple e la funzione di autodistruzione incorporata, rendono questa botnet potenzialmente molto pericolosa”.
