Af Eskil Sørensen, 28/10/20
Et nyt botnet - KashmirBlack – går målrettet efter at udnytte sårbarheder i populære CMS’er og bruger Dropbox og GitHub til kommunikation for at skjule sin tilstedeværelse. Det skriver DarkReading.
Botnettet har fokus på kryptomining og spamming og har inficeret hundreder af tusinder af websteder, der kører på CMS’er som WordPress, Joomla, Magneto og Drupal. Årsagerne til at botnettet kan spredes er, at CMS'er ofte ikke holdes opdateret, og de kan derfor udnyttes med offentligt kendte sårbarheder, siger en medarbejder ved Imperva, der har analyseret botnettet.
For at indsamle oplysninger om det næsten et år gamle botnet udgav analytikerne sig for at være en inficeret server i botnettet og oprettede også en honny pot, der kørte en af de målrettede CMS-portaler. Dette gjorde, at analytikerne kunne indsamle de kommandoer og scripts, der blev kommunikeret til botnettet.
Med 285 observerede systemer, der forsøgte at sprede bot-softwaren over flere måneder, og en formodet succesrate på 1%, har analytikerne anslået, at omkring 230.000 websteder var kompromitteret i løbet af de sidste 11 måneder.
Dynamisk botnet
Det fremgår af artiklen i DarkReading, at botnettet bruger to klynger af inficerede systemer som opbevaringssteder til hhv. kode og udnyttelse og deler kompromitterede systemer i dem, der aktivt søger nye bots og en større gruppe, der venter på ’instruktioner’. Derudover har botnettet ændret sig i løbet af de sidste 11 måneder. I september ændrede for eksempel folkene bag botnettet command-and -control-evnen til at bruge Dropbox API til at gemme logfiler over dens operationer og hente kommandoer.
Botnettet er således dynamisk, siger Nadav Avital, en medarbejder ved Imperva til DarkReading. "Det er som om du ikke kan blokere eller sætte nogle sikkerhedsregler op én gang og være færdig med det. Botnettet udvikler sig, det ændrer sig, det implementerer nye unddragelsesteknikker - nogle gange hver dag, hver uge eller hver måned.”
Forudsætningerne er således til stede, for at botnettet er kommet for at blive, som det konkluderes i rapporten.