Botnets uma breve análise
Os botnets têm assolado o mundo há algumas décadas. Eles nunca deixam de surpreender analistas de segurança e policiais.
O que está acontecendo?
Avast Security, em uma postagem detalhada no blog, explicou como duas caixas DVB são propensas a ataques de ransomware e botnet. Essas caixas são Philips DTR3502BFTA e Thomson THT741FTA. A vulnerabilidade é principalmente devido à falta de criptografia nesses dispositivos. Além disso, o protocolo Telnet foi detectado expondo a infecção do botnet Mirai.
O que isso implica?
- Os invasores podem adulterar o conteúdo exibido ao usuário por meio de feed RSS e aplicativos de clima.
- Os adversários podem exibir uma mensagem de ransomware, informando às vítimas que sua TV foi sequestrada.
- Além disso, os pesquisadores descobriram que o hijack de DNS pode ser transferido para o dispositivo. Portanto, o que significa que os invasores podem armazenar cargas de malware e persistir durante as reinicializações e reinicializações.
Ataques recentes de botnet
- Recentemente, a NCR Corporation descobriu computadores infectados por malware em sua rede. O malware foi detectado como botnet Lethic e seus recursos incluem acesso remoto, movimento lateral e download de cargas adicionais.
- Descobriu-se que um novo botnet de fraude publicitária era distribuído por meio de itens gratuitos. A campanha, batizada de TERRACOTTA , falsificou mais de 5.000 aplicativos.
- O botnet Drácula foi identificado por promover um golpe político pró-chinês, com 3.000 contas.
Um jogo de esconde-esconde
- O fluxo rápido é um método popular empregado por operadores de botnet para transformar nomes de domínio de comunicação em fantasmas virtuais.
- Essa técnica DNS é usada para ocultar sites de entrega de phishing e malware atrás de uma rede de hosts comprometidos que funcionam como proxies.
- Essa técnica é usada principalmente em ataques de phishing e redes sociais.
O que procurar?
A implementação de defesas de botnet não é mais uma opção, mas sim uma necessidade. Os botnets estão em constante evolução e espera-se que prosperem por algum tempo. Embora cada ambiente seja diferente, algumas recomendações gerais que podem ser seguidas incluem a implementação de sistemas de engano como de autenticação multifator, quarentena de endpoints infectados e detecção de tráfego direcionado a sites maliciosos ou rede Tor, entre outros.
Fonte: https://cyware.com/news/the-botnet-scoop-745a8482
Nota PluggedNinja:
Além de das opções que o autor citou para mitigação de ataques de botnet, máquinas zumbi e vai de acordo com o Mitre Shield, é o sistema de defesa ativo, onde o time de cyberdefense consegue engajar o atacante no momento do ataque, capturar seus métodos de persistência e exploração conseguindo rapidamente uma grande vantagem sobre o atacante, isso quando é um humano, por que quando são malwares atuando automaticamente o sistema de engano por si só já responde de forma satisfatória se possuir integração com outras ferramentas de segurança de rede.
