Pular para o conteúdo
Início » Pesquisadores Alertam sobre Botnet CatDDoS e Técnica de Ataque DDoS DNSBomb

Pesquisadores Alertam sobre Botnet CatDDoS e Técnica de Ataque DDoS DNSBomb

Os pesquisadores do QiAnXin XLab alertaram sobre a botnet CatDDoS, que explora mais de 80 vulnerabilidades conhecidas em diversos softwares para infiltrar dispositivos vulneráveis e transformá-los em uma botnet para realizar ataques de negação de serviço distribuído (DDoS).

Exploração de Vulnerabilidades

Nos últimos três meses, os atores por trás do malware CatDDoS exploraram uma grande quantidade de falhas de segurança conhecidas. Eles utilizam essas falhas para distribuir amostras de malware e, assim, cooptar dispositivos vulneráveis. Segundo a equipe do QiAnXin XLab, os alvos podem ultrapassar 300 por dia.

Dispositivos Afetados

Os dispositivos afetados incluem roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j, e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.

Origem e Evolução do CatDDoS

Histórico do Malware

Documentado inicialmente pela QiAnXin e NSFOCUS no final de 2023, o CatDDoS é uma variante da botnet Mirai, capaz de realizar ataques DDoS usando métodos como UDP e TCP. O malware apareceu pela primeira vez em agosto de 2023 e ganhou o nome devido a referências a gatos em strings como “catddos.pirate” e “password_meow” nos domínios de comando e controle (C2).

Alvos do Ataque

A maioria dos alvos do malware está localizada na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, conforme informações compartilhadas pela NSFOCUS em outubro de 2023.

Técnicas de Evasão e Criptografia

Algoritmo ChaCha20

O CatDDoS utiliza o algoritmo ChaCha20 para criptografar comunicações com o servidor C2, além de usar um domínio OpenNIC para C2, uma técnica anteriormente adotada por outra botnet baseada em Mirai, chamada Fodcha.

Compartilhamento de Chave

Interessantemente, o CatDDoS compartilha o mesmo par de chave/nonce do algoritmo ChaCha20 com outras três botnets de DDoS: hailBot, VapeBot e Woodman.

Foco dos Ataques

Os ataques do CatDDoS se concentram principalmente nos EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.

Venda do Código-Fonte

Os autores originais do malware encerraram suas operações em dezembro de 2023, mas não antes de colocar o código-fonte à venda em um grupo dedicado no Telegram. Essa venda resultou no surgimento de novas variantes, como RebirthLTD, Komaru e Cecilio Network.

Apresentação da Técnica DNSBomb

Detalhes do Ataque

Enquanto isso, surgiram detalhes sobre uma técnica de ataque de negação de serviço pulsante (PDoS) chamada DNSBomb (CVE-2024-33655). Esse ataque aproveita consultas e respostas do Sistema de Nomes de Domínio (DNS) para alcançar um fator de amplificação de 20.000x.

Funcionamento do DNSBomb

O DNSBomb explora recursos legítimos do DNS, como limites de taxa de consultas, tempos limite de consultas e respostas, agregação de consultas e configurações de tamanho máximo de resposta. Ele cria enchentes temporizadas de respostas utilizando uma autoridade maliciosamente projetada e um resolvedor recursivo vulnerável.

Estratégia de Ataque

A estratégia envolve falsificação de IP para múltiplas consultas DNS a um domínio controlado pelo atacante, retendo as respostas para agregar múltiplas réplicas. O objetivo é sobrecarregar as vítimas com rajadas periódicas de tráfego amplificado, difíceis de detectar.

Palestras e Mitigações

Apresentações

As descobertas sobre o DNSBomb foram apresentadas no 45º Simpósio IEEE sobre Segurança e Privacidade, realizado em São Francisco na semana passada, e anteriormente no evento GEEKCON 2023, em Xangai, em outubro de 2023.

Resposta do ISC

O Internet Systems Consortium (ISC), responsável pelo desenvolvimento e manutenção do conjunto de softwares BIND, afirmou que não é vulnerável ao DNSBomb e que as mitigações existentes são suficientes para reduzir os riscos do ataque.

A botnet CatDDoS e a técnica de ataque DNSBomb representam ameaças significativas no cenário de segurança cibernética. É crucial que administradores de sistemas e profissionais de segurança permaneçam vigilantes e implementem as melhores práticas de segurança para proteger suas redes contra essas e outras ameaças emergentes.

Fontes: https://blog.xlab.qianxin.com/catddos-derivative-en/ https://sp2024.ieee-security.org/accepted-papers.html

Marcações: