Zscaler waarschuwt voor Linux-gebaseerd DreamBus Botnet

| Zscaler | 3 min | 28 januari 2021 17:14
Afbeelding: High-level diagram van de DreamBus botnet architectuur | Copyright: Zscaler
Zscaler’s ThreatLabZ-team presenteert nieuwe bevindingen over een op Linux gebaseerde malware-familie, bekend als het DreamBus Botnet. De malware is een variant van SystemdMiner, dat bestaat uit een serie Executable en Linkable Format (ELF)-binaries en Unix-shellscripts. Verschillende componenten van het botnet zijn in het verleden al eens geanalyseerd. Zo bleek eerder dat veel van de DreamBus-modules slecht worden gedetecteerd door security-oplossingen. Dit is onder andere omdat op Linux gebaseerde malware minder gebruikelijk is dan Windows-gebaseerde malware. Veel kritieke zakelijke systemen draaien echter op Linux. Malware die kwaadwillenden toegang verschaffen tot deze systemen kunnen significante disrupties en onherstelbare schade veroorzaken. Zeker omdat deze systemen tegenwoordig essentieel zijn voor de bedrijfscontinuïteit.

De DreamBus-malware vertoont worm-like gedrag dat zich, door zijn veelzijdige benadering, snel over het internet verspreidt. Deze technieken omvatten verschillende modules die impliciet vertrouwen, zwakke wachtwoorden en ongeautoriseerde remote code execution (RCE)-kwetsbaarheden exploiteren in populaire applicaties, zoals Secure Shell (SSH), IT-beheertools, verschillende cloudgebaseerde applicaties en databases. Specifiek deze applicaties zijn doelwit omdat zij vaak draaien op systemen met krachtige onderliggende hardware met aanzienlijke hoeveelheden geheugen en krachtige CPU's - welke kwaadaardige actoren in staat stellen om geld te verdienen door het minen van cryptocurrency.

Terwijl de primaire DreamBus malware-payload een open source Monero cryptocurrency-miner is, die bekend staat als XMRig, kunnen kwaadaardige actoren in de toekomst mogelijk een rol spelen bij het uitvoeren van meer destructieve activiteiten, zoals ransomware.

Belangrijkste bevindingen:
  • DreamBus is een modulair op Linux gebaseerd botnet met worm-like gedrag dat sinds 2019 vaker de kop opsteekt;
  • De malware kan zich verspreiden naar systemen die niet direct blootgesteld staan aan het internet door private RFC 1918 subnet ranges voor kwetsbare systemen te scannen;
  • DreamBus gebruikt een combinatie van impliciet vertrouwen, applicatie-specifieke exploits en zwakke wachtwoorden om zich toegang te verschaffen tot databases, cloudgebaseerde applicaties en IT-beheertools;
  • Het botnet genereert momenteel geld door geïnfecteerde systemen te gebruiken om Monero cryptocurrency te minen met behulp van XMRig;
  • De kwaadaardige actor die DreamBus beheert, lijkt gevestigd te zijn in Rusland of Oost-Europa. Dit is geconstateerd op basis van het tijdstip van implementatie voor nieuwe commando’s.

Best practices

Ondanks dat DreamBus momenteel gebruikt wordt voor het minen van cryptocurrency, kunnen kwaadaardige actoren zich in de toekomst ook richten op meer disruptieve activiteit, zoals ransomware. Daarnaast kunnen andere dreigingsgroepen dezelfde technieken gebruiken om systemen te infecteren en gevoelige data te compromitteren. DreamBus blijft zich ontwikkelen en nieuwe modules worden continu toegevoegd om meer systemen te compromitteren en updates en bug fixes ongedaan te maken. De criminelen achter DreamBus zullen hun activiteiten niet staken zolang zij zich kunnen verschuilen achter TOR en anonieme filesharing-websites. Daarom moeten organisaties waakzaam zijn en de nodige voorzorgsmaatregelen nemen om infecties te voorkomen.

Er zijn een aantal best practices die organisaties kunnen nemen om aanvallen te voorkomen. Deze omvatten het adequaat beveiligen van alle applicaties die zowel openbaar als privé toegankelijk zijn, er moeten altijd sterke wachtwoorden worden gebruikt om internetdiensten te beveiligen, en SSH-verificatie met openbare sleutels kan verder worden versterkt door een wachtwoord te vereisen om de privésleutel te decoderen. Daarnaast moeten organisaties systemen voor netwerk- en endpoint-bewaking inzetten om lekken te identificeren en rekening te kunnen houden met systemen die brute force-aanvallen uitvoeren.

Voor meer informatie en de technische analyse van het DreamBus Botnet, bezoek de website: https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Zscaler
Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030103431.png
Conference by app developers, for app developers!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.