Thought Leadership
Die neue Gafgyt-Malware-Variante C0XMO attackiert DD-WRT-Router über eine Schwachstelle und eliminiert konkurrierende Schadsoftware auf den Geräten.
Sicherheitsforscher von Fortinet haben eine neue Variante des Gafgyt-Botnetzes entdeckt, die unter der Bezeichnung C0XMO operiert. Die Schadsoftware verbreitet sich primär durch das Ausnutzen der Sicherheitslücke CVE-2021-27137. Hierbei handelt es sich um einen Pufferüberlauf in der UPnP-Dienstkomponente von anfälligen Versionen der DD-WRT-Router-Firmware. Da dieser Fehler ohne vorherige Authentifizierung aus der Ferne ausgenutzt werden kann, ermöglicht er den Angreifern das Ausführen von beliebigem Programmcode. Das Schadprogramm zeichnet sich durch ein modulares Design aus, wodurch Betreiber die Angriffstechniken und Zielarchitekturen flexibel anpassen können.
Die Forscher isolierten Schadcode-Proben für eine Vielzahl von CPU-Architekturen, darunter ARM, MIPS, PowerPC, SuperH, x86 und x86_64. Dadurch kann die Malware neben Routern auch digitale Videorekorder, Android-Geräte und Videomanagement-Plattformen infizieren. Ein konkreter Angriff richtete sich gegen ein technologisches Unternehmen in Japan, wobei die Angreifer eine Quell-IP-Adresse verwendeten, die einem Gerät in Deutschland zugeordnet war.
Funktionsweise des Malware-Scanners und Etablierung im System
Zur weiteren Verbreitung im Netzwerk lädt C0XMO ein eigenständiges Python-Skript herunter. Dieses Skript installiert zusätzliche Programmbibliotheken wie requests, paramiko und beautifulsoup4, welche für die Netzwerkkommunikation sowie für Aktivitäten über die Protokolle SSH und Telnet benötigt werden. Der integrierte Scanner nutzt separate Worker-Threads, um das Internet nach offenen Ports wie 22, 23, 80, 443, 7547, 8080, 8443 und 8888 zu durchsuchen. Sobald ein verwundbares System identifiziert ist, führt die Malware automatisierte Brute-Force-Angriffe auf schwache Telnet- und SSH-Zugangsdaten durch.
Nach der erfolgreichen Identifizierung der zugrundeliegenden CPU-Architektur wird die passende ausführbare Binärdatei auf das Zielgerät übertragen. Zur Etablierung im System kopiert sich die Schadsoftware in versteckte Verzeichnisse wie /tmp/.sys, /var/tmp/.sys oder /dev/shm/.sys. Über das Erstellen von automatisierten Zeitplaner-Aufgaben (Cron-Jobs) stellt das Programm sicher, dass es alle 15 Minuten neu gestartet wird. Zudem werden die Startdateien der System-Shell manipuliert, um eine automatiche Ausführung bei Systemstarts zu gewährleisten.
Beseitigung von Konkurrenten und Steuerung über C2-Server
Ein spezifisches Merkmal von C0XMO ist das gezielte Ausschalten konkurrierender Schadprogramme auf dem infizierten Host. Die Malware scannt kontinuierlich alle aktiven Systemprozesse und gleicht diese mit einer internen Verbotsliste ab. Wird ein konkurrierender Botnet-Client, ein Analysewerkzeug für Sicherheitsteams oder ein störender Netzwerkdienst entdeckt, beendet die Schadsoftware den Prozess umgehend. Dabei löscht sie die zugehörigen ausführbaren Dateien und entfernt deren Persistenzmechanismen, einschließlich der Cron-Jobs, Init-Skripte und Systemdienste.
Nach der Bereinigung des Systems stellt C0XMO eine Verbindung zu einem fest codierten Befehls- und Kontrollserver (C2) her. Die Kommunikation erfolgt über einen mehrstufigen Handshake, der spezifische Erkennungszeichen und vordefinierte Passwörter nutzt. Der primäre Verwendungszweck des Botnetzes liegt im Starten von verteilten Überlastungsangriffen (DDoS). Das System unterstützt 19 verschiedene Angriffsmethoden, darunter UDP-, TCP-, SYN- und ICMP-Floods, NTP- und Memcached-Verstärkungsangriffe sowie spezifische Datenüberlastungen für Discord-Sprachdienste und Valve-Spieleserver.
Fortinet beschreibt C0XMO als ein System mit „einer wesentlich fortschrittlicheren Architektur und einem größeren Funktionsumfang im Vergleich zu früheren IoT-Botnetzen“. Die Forscher merken an, dass der Gesamtaufbau der Malware auf „ein höheres Maß an operativer Raffinesse und Komplexität als typische Gafgyt-Malware“ hindeutet.
(red)
