Botnet maschera l'attività utilizzando la rete Tor

Si chiama Gafgyt_tor la nuova variante della nota botnet, che adesso scatena attacchi DDoS mascherandosi dietro a Tor.

Business Vulnerabilità
Una nuova variante della botnet Gafgyt colpisce dispositivi IoT vulnerabili mascherando le comunicazioni tramite Tor. Non è la prima volta che una botnet sfrutta Tor per bypassare i sistemi di monitoraggio. Tuttavia è un inedito per Gafgyt, una botnet scoperta nel 2014, celebre per il lancio di attacchi DDoS su larga scala.

La variante, battezzata Gafgyt_tor, è stata scoperta il 15 febbraio dai ricercatori di NetLab 360. Analogamente a quanto fatto in precedenza, sviluppa gli attacchi sfruttando password Telnet deboli (ossia un problema comune ai dispositivi IoT) e tre vulnerabilità. La prima riguarda un difetto di esecuzione del codice remoto (CVE-2019-16920) nei dispositivi D-Link. La seconda è una vulnerabilità nell'esecuzione di codice in modalità remota nel software Liferay Portal versione free e il terzo è la falla CVE-2019-19781 nel Citrix Application Delivery Controller.

La novità è appunto nel metodo di comunicazione: la nuova variante di Gafgyt ha rimpiazzato la funzione initConnection() originale, che era responsabile della creazione della connessione con il server di comando e controllo (C2), con una funzione proxy Tor per fornire l'indirizzo del server IP.

Nuove funzionalità tor


In particolare, è tor_socket_init la funzione che è responsabile dell'inizializzazione di un elenco di nodi proxy con indirizzi IP e una porta. I ricercatori reputano che con questo comando si possano creare oltre 100 proxy Tor. Dopo aver inizializzato l'elenco proxy, verrà selezionato un nodo casuale dall'elenco per consentire la comunicazione Tor tramite tor_retrieve_addr e tor_retrieve_port.

ver1 ver2 cmp cfg en

A questo punto è stata stabilita la connessione con un server C2, quindi la botnet attende i comandi tramite darknet. Le attività principali di Gafgyt_tor restano gli attacchi DDoS e la scansione della rete. Riguardo alle botnet, i ricercatori hanno rilevato che è stato aggiunto il nuovo comando LDSERVER che consente al server C2 di specificare rapidamente i server da cui vengono scaricati i payload.

È un dettaglio importante, se server di download viene identificato e bloccato, si può cambiare dinamicamente il server di download, in modo che passi rapidamente a un altro senza interrompere la propagazione della botnet.

Collegamenti con altre Botnet


La nuova variante in oggetto ha in comune il codice e gli indirizzi IP con altre famiglie di bot, tra cui la botnet Tsunami e la famiglia di botnet Necro scoperta a gennaio. Questo fa nascere il sospetto che Gafgyt_tor e Necro siano gestite dallo stesso gruppo di persone, che dispone dello stesso pool di indirizzi IP e di più codici sorgente botnet. In sostanza, formano diverse famiglie di botnet, ma riciclano l'infrastruttura.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori