As botnets são ameaças reais de forma direta ou indireta às organizações de todos os portes. Com rápida escalabilidade devido a diferentes infecções por malwares, uma pessoa mal-intencionada pode deter o controle de seus ativos e conseguir documentos, logins, banda, poder computacional ou ataques variados em alvos.
Echobot Botnet
Em 2016, a botnet Mirai foi utilizada para divulgar centenas de campanhas de malwares pelo mundo, causando danos a diversos indivíduos e empresas.
Recentemente, PaloAlto Networks© revelou a última variante desta botnet, apelidada de Echobot, com aproximadamente 18 exploits - sendo 8 mais recentes e não encontrados na Mirai.
Atualmente, essa botnet contém 26 tipos de exploits, com vulnerabilidades novas e antigas.
Listagem de vulnerabilidades
Uma grande variedade de vulnerabilidades novas e antigas sendo utilizadas, todas associadas à execução de código remoto ou inserção de comando, de 2009 até 2019.
Os alvos, também mistos, mostram uma grande variação de ambientes, desde soluções residenciais - como câmeras WiFi, rotadores D-link, LinkSys - até Oracle WebLogic© e VMWare NSX SD-WAN Edge.
GoldBrute botnet
Coincidentemente, pouco tempo após o anúncio da vulnerabilidade chamada BlueKeep (CVE 2019-0708), a botnet GoldBrute surge procurando serviços RDPs e efetuando brute-force ao redor do globo.
Hoje, de acordo com a engine Shodan, existem mais de 3 milhões de serviços expostos e o Brasil é o 4º na lista, atrás apenas da Alemanha, Estados Unidos e China.
Revelada em meados de maio de 2019, BlueKeep, como tem sido chamada, é a vulnerabilidade que permite a execução de comando no sistema remoto através do RDP. Com ela, é possível instalar e executar programas, exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário.
→ Devido à gravidade da falha, a Microsoft decidiu corrigir inclusive sistemas já antigos e sem suporte por End of Life. As correções podem ser encontradas em: https://support.microsoft.com/pt-br/help/4500705/customer-guidance-for-cve-2019-0708
→ PoC publicada pela McAfee com sistema sendo afetado pelo BlueKeep: https://youtu.be/syF6rSM0JSM
Prevenção & Remediação
Recomendações para BlueKeep:
- Atualizar o OS
- Desabilitar RDP nos ativos em que não são necessários
- Criar política de firewall filtrando origem
- Criar VPN para acesso externo ao servidores
- Habilitar NLA para RDP
- Desabilitar a reconexão automática na política dos ativos com RDP
Recomendações para Echobot:
- Bloqueio de NS: pw and akuma.pw
- Bloqueio de IPs: 80.211.224.232, 80.211.168.74 (Itália)
- Bloqueio de Ips: 198.54.117.200 (EUA)
- Desabilitar Telnet e SSH em ativo sem a necessidade
- Desabilitar UPnP
- Auditar devices IoTs
- Efetuar update de firmware sempre que possível
Recomendações para GoldBrute:
- Bloqueio de IPs: 104.248.167.144 (Download Server)
- Bloqueio de IPs: 104.156.249.231 (C2 Server)
- Desabilitar RDP publicado em ativo sem a necessidade
- Revisar política de senhas seguras
- Revisar tempo para troca de senhas seguras
- Atualizar ativos de segurança com o hash SHA256:
af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e
