Botnets uma breve análise

O que está acontecendo?

Avast Security, em uma postagem detalhada no blog, explicou como duas caixas DVB são propensas a ataques de ransomware e botnet. Essas caixas são Philips DTR3502BFTA e Thomson THT741FTA. A vulnerabilidade é principalmente devido à falta de criptografia nesses dispositivos. Além disso, o protocolo Telnet foi detectado expondo a infecção do botnet Mirai.

O que isso implica?

• Os invasores podem adulterar o conteúdo exibido ao usuário por meio de feed RSS e aplicativos de clima.
• Os adversários podem exibir uma mensagem de ransomware, informando às vítimas que sua TV foi sequestrada.
• Além disso, os pesquisadores descobriram que o hijack de DNS pode ser transferido para o dispositivo. Portanto, o que significa que os invasores podem armazenar cargas de malware e persistir durante as reinicializações e reinicializações.

Ataques recentes de botnet

• Recentemente, a NCR Corporation descobriu computadores infectados por malware em sua rede. O malware foi detectado como botnet Lethic e seus recursos incluem acesso remoto, movimento lateral e download de cargas adicionais.
• Descobriu-se que um novo botnet de fraude publicitária era distribuído por meio de itens gratuitos. A campanha, batizada de TERRACOTTA , falsificou mais de 5.000 aplicativos.
• O botnet Drácula foi identificado por promover um golpe político pró-chinês, com 3.000 contas.

Um jogo de esconde-esconde

• O fluxo rápido é um método popular empregado por operadores de botnet para transformar nomes de domínio de comunicação em fantasmas virtuais.
• Essa técnica DNS é usada para ocultar sites de entrega de phishing e malware atrás de uma rede de hosts comprometidos que funcionam como proxies.
• Essa técnica é usada principalmente em ataques de phishing e redes sociais.

O que procurar?

A implementação de defesas de botnet não é mais uma opção, mas sim uma necessidade. Os botnets estão em constante evolução e espera-se que prosperem por algum tempo. Embora cada ambiente seja diferente, algumas recomendações gerais que podem ser seguidas incluem a implementação de sistemas de engano como de autenticação multifator, quarentena de endpoints infectados e detecção de tráfego direcionado a sites maliciosos ou rede Tor, entre outros.

Fonte: https://cyware.com/news/the-botnet-scoop-745a8482

Nota PluggedNinja:
Além de das opções que o autor citou para mitigação de ataques de botnet, máquinas zumbi e vai de acordo com o Mitre Shield, é o sistema de defesa ativo, onde o time de cyberdefense consegue engajar o atacante no momento do ataque, capturar seus métodos de persistência e exploração conseguindo rapidamente uma grande vantagem sobre o atacante, isso quando é um humano, por que quando são malwares atuando automaticamente o sistema de engano por si só já responde de forma satisfatória se possuir integração com outras ferramentas de segurança de rede.