Os pesquisadores do QiAnXin XLab alertaram sobre a botnet CatDDoS, que explora mais de 80 vulnerabilidades conhecidas em diversos softwares para infiltrar dispositivos vulneráveis e transformá-los em uma botnet para realizar ataques de negação de serviço distribuído (DDoS).
Exploração de Vulnerabilidades
Nos últimos três meses, os atores por trás do malware CatDDoS exploraram uma grande quantidade de falhas de segurança conhecidas. Eles utilizam essas falhas para distribuir amostras de malware e, assim, cooptar dispositivos vulneráveis. Segundo a equipe do QiAnXin XLab, os alvos podem ultrapassar 300 por dia.
Dispositivos Afetados
Os dispositivos afetados incluem roteadores, equipamentos de rede e outros dispositivos de fornecedores como Apache (ActiveMQ, Hadoop, Log4j, e RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase, NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE e Zyxel, entre outros.
Origem e Evolução do CatDDoS
Histórico do Malware
Documentado inicialmente pela QiAnXin e NSFOCUS no final de 2023, o CatDDoS é uma variante da botnet Mirai, capaz de realizar ataques DDoS usando métodos como UDP e TCP. O malware apareceu pela primeira vez em agosto de 2023 e ganhou o nome devido a referências a gatos em strings como “catddos.pirate” e “password_meow” nos domínios de comando e controle (C2).
Alvos do Ataque
A maioria dos alvos do malware está localizada na China, seguida pelos EUA, Japão, Singapura, França, Canadá, Reino Unido, Bulgária, Alemanha, Holanda e Índia, conforme informações compartilhadas pela NSFOCUS em outubro de 2023.
Técnicas de Evasão e Criptografia
Algoritmo ChaCha20
O CatDDoS utiliza o algoritmo ChaCha20 para criptografar comunicações com o servidor C2, além de usar um domínio OpenNIC para C2, uma técnica anteriormente adotada por outra botnet baseada em Mirai, chamada Fodcha.
Compartilhamento de Chave
Interessantemente, o CatDDoS compartilha o mesmo par de chave/nonce do algoritmo ChaCha20 com outras três botnets de DDoS: hailBot, VapeBot e Woodman.
Foco dos Ataques
Os ataques do CatDDoS se concentram principalmente nos EUA, França, Alemanha, Brasil e China, abrangendo provedores de serviços em nuvem, educação, pesquisa científica, transmissão de informações, administração pública, construção e outras indústrias.
Venda do Código-Fonte
Os autores originais do malware encerraram suas operações em dezembro de 2023, mas não antes de colocar o código-fonte à venda em um grupo dedicado no Telegram. Essa venda resultou no surgimento de novas variantes, como RebirthLTD, Komaru e Cecilio Network.
Apresentação da Técnica DNSBomb
Detalhes do Ataque
Enquanto isso, surgiram detalhes sobre uma técnica de ataque de negação de serviço pulsante (PDoS) chamada DNSBomb (CVE-2024-33655). Esse ataque aproveita consultas e respostas do Sistema de Nomes de Domínio (DNS) para alcançar um fator de amplificação de 20.000x.
Funcionamento do DNSBomb
O DNSBomb explora recursos legítimos do DNS, como limites de taxa de consultas, tempos limite de consultas e respostas, agregação de consultas e configurações de tamanho máximo de resposta. Ele cria enchentes temporizadas de respostas utilizando uma autoridade maliciosamente projetada e um resolvedor recursivo vulnerável.
Estratégia de Ataque
A estratégia envolve falsificação de IP para múltiplas consultas DNS a um domínio controlado pelo atacante, retendo as respostas para agregar múltiplas réplicas. O objetivo é sobrecarregar as vítimas com rajadas periódicas de tráfego amplificado, difíceis de detectar.
Palestras e Mitigações
Apresentações
As descobertas sobre o DNSBomb foram apresentadas no 45º Simpósio IEEE sobre Segurança e Privacidade, realizado em São Francisco na semana passada, e anteriormente no evento GEEKCON 2023, em Xangai, em outubro de 2023.
Resposta do ISC
O Internet Systems Consortium (ISC), responsável pelo desenvolvimento e manutenção do conjunto de softwares BIND, afirmou que não é vulnerável ao DNSBomb e que as mitigações existentes são suficientes para reduzir os riscos do ataque.
A botnet CatDDoS e a técnica de ataque DNSBomb representam ameaças significativas no cenário de segurança cibernética. É crucial que administradores de sistemas e profissionais de segurança permaneçam vigilantes e implementem as melhores práticas de segurança para proteger suas redes contra essas e outras ameaças emergentes.
Fontes: https://blog.xlab.qianxin.com/catddos-derivative-en/ https://sp2024.ieee-security.org/accepted-papers.html
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.
