Botnet C0XMO menyebar melalui kelemahan router DD-WRT, membunuh malware saingannya

Varian baru botnet Gafgyt bernama C0XMO menargetkan firmware router DD-WRT dan dapat berpindah ke jenis perangkat lain dengan arsitektur CPU yang berbeda.

Para peneliti menemukan sampel untuk ARM, MIPS, PowerPC, SuperH, x86, x86_64, dan arsitektur lainnya, yang menampilkan eksploitasi untuk DVR, router, platform manajemen video, dan perangkat berbasis Android.

Botnet tersebut terlihat menargetkan perusahaan teknologi Jepang, namun peneliti menemukan bahwa alamat IP sumbernya ditujukan untuk perangkat yang berlokasi di Jerman.

Peneliti Fortinet menemukan C0XMO dan menyoroti desain modularnya, yang memungkinkan operator memperbarui teknik eksploitasi, menambah/menghapus arsitektur yang ditargetkan, dan memperluas kemampuan pergerakan lateral secara independen dari muatan utama.

Pada dasarnya, C0XMO tetap menjadi malware yang meluncurkan serangan penolakan layanan terdistribusi (DDoS) dan mendukung 19 metode, termasuk banjir UDP/TCP/SYN/ICMP, “ping of death,” amplifikasi NTP/Memcached, banjir UDP suara Discord, dan banjir khusus Valve.

Menurut para peneliti, malware botnet C0XMO dikirimkan dengan mengeksploitasi CVE-2021-27137, kerentanan buffer overflow yang disebabkan oleh input pengguna yang tidak mencukupi. Ini dapat dimanfaatkan tanpa otentikasi dan mengarah pada eksekusi kode arbitrer.

Pemindai Gafgyt

Untuk distribusi yang lebih luas, C0XMO mengunduh skrip Python yang menginstal paket tambahan seperti ‘requests’, ‘paramiko’, dan ‘beautifulsoup4’, yang diperlukan untuk pemindaian dan komunikasi jaringan, dan untuk menjalankan aktivitas melalui protokol SSH dan telnet.

Pemindai kemudian menggunakan thread pekerja untuk memindai secara acak sistem yang terhubung ke internet pada port umum seperti 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, 8888, dan lainnya.

Setelah menemukan target, malware mencoba melakukan brute force terhadap kredensial Telnet dan SSH yang lemah, mendeteksi arsitektur CPU, dan menyebarkan biner C0XMO yang kompatibel.

Skrip ini berisi hampir dua lusin fungsi untuk berbagai tugas pemindaian, mengeksploitasi kerentanan berbasis HTTP dan ADB, mendeteksi arsitektur CPU, login SSH/telenet, dan memeriksa alamat IP. Tujuan utamanya adalah untuk bergerak secara lateral pada jaringan.

Setelah mendapatkan akses ke perangkat, malware menyalin dirinya ke lokasi tersembunyi seperti ‘/tmp/.sys,’ ‘/var/tmp/.sys,’ dan ‘/dev/shm/.sys,’ dan kemudian membuat tugas cron yang meluncurkannya kembali setiap 15 menit. Selain itu, file startup shell dimodifikasi untuk memungkinkan eksekusi otomatis.

Selain itu, C0XMO secara aktif memindai proses yang berjalan untuk mengidentifikasi klien botnet pesaing di host, serta alat tim merah, alat pemrograman, dan layanan jaringan yang mungkin mengganggu pengoperasiannya, dan menghentikannya.

Ia melakukannya dengan menghapus biner dan menghapus mekanisme persistensinya, termasuk pekerjaan cron, skrip init, layanan sistem, dan entri profil shell.

Setelah itu, ia terhubung ke alamat perintah-dan-kontrol (C2) yang dikodekan secara hardcode menggunakan jabat tangan multi-tahap khusus yang mencakup string ajaib dan rahasia bersama, lalu menunggu perintah.

Perintah yang didukung mencakup pemeriksaan detak jantung, memulai dan menghentikan pemindaian, dan meluncurkan serangan DDoS menggunakan salah satu dari 19 metode yang didukung.

Rekomendasi umum untuk bertahan melawan C0XMO dan malware botnet lainnya adalah selalu memperbarui perangkat, menggunakan kredensial admin unik, dan menonaktifkan kemampuan akses jarak jauh bila tidak diperlukan.

Fortinet menggambarkan C0XMO memiliki “arsitektur dan rangkaian fitur yang jauh lebih canggih dibandingkan dengan botnet IoT sebelumnya.”

Para peneliti mencatat bahwa desain malware secara keseluruhan menunjukkan “tingkat kecanggihan dan kompleksitas operasional yang lebih besar dibandingkan malware Gafgyt pada umumnya.”