O botnet — projetado para DDoS, criação de backdoors e disseminação de malwares — está evadindo detecções de assinatura de URL padrão com uma abordagem inovadora que envolve endereços IP hexadecimais.
Cibercriminosos estão mirando servidores Linux SSH com o malware ShellBot e adotaram um novo método para esconder sua atividade: o uso de endereços IP em formato hexadecimal (Hex IP) para evitar detecções baseadas em comportamento.
De acordo com pesquisadores do AhnLab Security Emergency Response Center (ASEC), os atores de ameaça estão traduzindo a comum formação de URL “dot-decimal” de comando e controle (por exemplo, hxxp://39.99.218[.]78) para um formato de endereço Hex IP (como hxxp://0x2763da4e/), que a maioria das assinaturas de detecção baseadas em URL não analisa ou sinaliza.
“Endereços IP podem ser expressos em formatos diferentes do formato dot-decimal, incluindo notações decimais e hexadecimais, e são geralmente compatíveis com navegadores Web amplamente usados”, de acordo com o aviso do ASEC sobre os ataques Hex IP. “Devido ao uso do curl para download e sua habilidade em suportar hexadecimal assim como navegadores web, o ShellBot pode ser baixado com sucesso em um ambiente de sistema Linux e executado por meio do Perl.”
ShellBot?
O ShellBot, também conhecido como PerlBot, é um botnet bem conhecido que usa ataques de dicionário para comprometer servidores com credenciais SSH fracas. A partir daí, o ponto de extremidade do servidor é mobilizado para realizar ataques de negação de serviço distribuído (DDoS) ou introduzir payloads como criptomineradores em máquinas infectadas.
“Se o ShellBot estiver instalado, servidores Linux podem ser usados … para ataques DDoS contra alvos específicos após receber um comando do ator da ameaça”, explicou o ASEC. “Além disso, o ator da ameaça poderia usar várias outras funcionalidades de backdoor para instalar malwares adicionais ou lançar diferentes tipos de ataques a partir do servidor comprometido.”
Para proteger suas organizações contra ataques ShellBot, administradores devem simplesmente melhorar a higiene de suas senhas, utilizando senhas fortes e garantindo a rotação de suas credenciais reforçadas regularmente.
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.