Momentum la botnet che infetta Linux e i device IoT

17/12/2019

botnet DoS Linux Momentum

 

I ricercatori di Trend Micro hanno rilevato una nuova attività da parte della botnet Momentum, attiva su Linux e su diverse architetture CPU quali ARM, MIPS, Intel e Motorola 68020. La botnet, sfruttando diverse vulnerabilità, tenta di aprire una “backdoor” sul server target dal quale successivamente può sferrare attacchi DDoS (Distributed Denial of Service). Le backdoor distribuite dalla botnet Momentum sono varianti di quelle associate a Mirai tra cui Kaiten e Bashlite.

La botnet ha come target principali router, servizi web e device IoT.

Modalità di funzionamento

Dopo aver infettato il dispositivo, la botnet modifica i file “rc” e accedendo al server di comando e controllo (C&C) si connette al canale IRC (Internet Relay Chat) #HellRoom per registrarsi e accettare comandi. Gli operatori botnet possono quindi controllare i sistemi infetti inviando messaggi tramite il canale IRC come mostrato di seguito:

 

Una volta stabilite le linee di comunicazione, Momentum può utilizzare diversi comandi per attaccare utilizzando i dispositivi compromessi. In particolare, Momentum può utilizzare ben 36 metodi diversi per attacchi di tipo DoS.

Nell”immagine seguente è schematizzata la modalità operativa che prevede l’utilizzo di un server di distribuzione che ospita gli eseguibili del malware mentre l’altro è un server C&C di controllo per la botnet.

Il malware utilizza metodi di riflessione e amplificazione noti che hanno una varietà di target: MEMCACHE, LDAP, DNS e Valve Source Engine. In questi tipi di attacchi, il malware in genere falsifica gli indirizzi IP di origine (le vittime) su vari servizi eseguiti su server accessibili al pubblico, provocando un flusso di risposte per sopraffare l’indirizzo della vittima.

Oltre agli attacchi DoS, Momentum è anche in grado di eseguire altre azioni: apertura di un proxy su un IP specificato, modifica del nick del client, disabilitazione o abilitazione della pacchettizzazione dal client e altro ancora.

Nella sezione seguente analizzeremo le capacità di attacco specifiche di Momentum:

 Tipologia di attacchi DoS

  • LDAP DDoS reflection: in questo tipo di attacco, il malware attraverso uno spoofing dell’indirizzo IP di origine di un sistema di destinazione su server LDAP provoca una risposta più ampia da parte del sistema di destinazione.
  • Memcache attack: in questo tipo di attacco, un utente malintenzionato, da remoto, invia una richiesta UDP utilizzando un indirizzo IP di origine contraffatto a un server memcached UDP vulnerabile che invia una risposta. Momentum utilizza una richiesta HTTP GET per scaricare un reflection file: il malware utilizza la stessa richiesta per lo stesso scopo anche in altri attacchi DoS amplificati.

  • Attacco UDP-BYPASS: Momentum inonda l’host di destinazione costruendo e scaricando un payload UDP legittimo su una porta specifica. All’esecuzione di questo attacco, il malware sceglie una porta casuale e un payload corrispondente, quindi lo invia contro l’host di destinazione.
  • Phatwonk attack: questo tipo di attacco esegue più metodi DoS contemporaneamente.

La botnet ha anche altre funzionalità per rendere difficoltoso il rilevamento:

  • Fast Flux: attraverso l’assegnazione di più indirizzi IP ad un dominio e il loro cambio continuamente rendono molto difficile il rilevamento;
  • Backdoor: viene inviato un messaggio via IRC per far eseguire comandi specifici ai malware;
  • Propagazione: vengono sfruttate vulnerabilità specifiche su alcuni prodotti come di seguito indicati:
    • Router ZyXEL
    • Huawei Router
    • D-Link HNAP1
    • Realtek SDK UPnP SOAP
    • GPON80
    • GPON8080
    • GPON443
    • Vacron NVR RCE
    • THINK-PHP
    • HooTooTripMate RCE

Conclusione

Il CERT-PA raccomanda di mantenere aggiornati i sistemi operativi server e client e i device in generale al fine di rimuovere le superfici di attacco che la botnet tenta di sfruttare.  Dall’articolo dei ricercatori emerge che i server C&C della botnet sono attivi dal mese di novembre 2019 pertanto si tratta di attività recente e ancora in corso. Al momento l’unico indicatore di compromissione noto è di seguito riportato

SHA-256: 3c6d31b289c46b98be7908acd84086653a0774206b3310e0ea4e6779e1ff4124 attualmente rilevato da 39 produttori Antivirus.