Onderzoekers waarschuwen voor CatDDoS Botnet en DNSBomb DDoS-aanvalstechniek

De bedreigingsactoren achter het CatDDoS-malwarebotnet hebben de afgelopen drie maanden meer dan 80 bekende beveiligingsfouten in verschillende software uitgebuit om kwetsbare apparaten te infiltreren en deze in een botnet te coöpteren voor het uitvoeren van gedistribueerde denial-of-service (DDoS)-aanvallen.

“De monsters van CatDDoS-gerelateerde bendes hebben een groot aantal bekende kwetsbaarheden gebruikt om monsters te leveren”, aldus het QiAnXin XLab-team. “Bovendien is waargenomen dat het maximale aantal doelen meer dan 300 per dag bedraagt.”

De gebreken zijn van invloed op routers, netwerkapparatuur en andere apparaten van leveranciers zoals Apache (ActiveMQ, Hadoop, Log4j en RocketMQ), Cacti, Cisco, D-Link, DrayTek, FreePBX, GitLab, Gocloud, Huawei, Jenkins, Linksys, Metabase , NETGEAR, Realtek, Seagate, SonicWall, Tenda, TOTOLINK, TP-Link, ZTE en Zyxel, onder anderen.

CatDDoS werd eerder eind 2023 gedocumenteerd door QiAnXin en NSFOCUS en beschreef het als een Mirai-botnetvariant die DDoS-aanvallen kan uitvoeren met behulp van UDP, TCP en andere methoden.

De malware verscheen voor het eerst in het wild in augustus 2023 en dankt zijn naam aan katgerelateerde verwijzingen in tekenreeksen als “catddos.pirate” en “password_meow” voor command-and-control (C2)-domeinen.

Het merendeel van de aanvalsdoelen van de malware bevindt zich in China, gevolgd door de VS, Japan, Singapore, Frankrijk, Canada, het VK, Bulgarije, Duitsland, Nederland en India, volgens de informatie die NSFOCUS vanaf oktober 2023 heeft gedeeld. .

Naast het gebruik van het ChaCha20-algoritme om de communicatie met de C2-server te versleutelen, maakt het gebruik van een OpenNIC-domein voor C2 in een poging detectie te omzeilen, een techniek die eerder werd toegepast door een ander op Mirai gebaseerd DDoS-botnet genaamd Fodcha.

CatDDoS Botnet en DNSBomb DDoS-aanval

In een interessante wending deelt CatDDoS ook hetzelfde sleutel/nonce-paar voor het ChaCha20-algoritme als drie andere DDoS-botnets genaamd hailBot, VapeBot en Woodman.

XLab zei dat de aanvallen voornamelijk gericht zijn op landen als de VS, Frankrijk, Duitsland, Brazilië en China, waaronder cloudserviceproviders, onderwijs, wetenschappelijk onderzoek, informatieoverdracht, openbaar bestuur, de bouw en andere industrieën.

Er wordt vermoed dat de oorspronkelijke auteurs achter de malware hun activiteiten in december 2023 hebben stopgezet, maar niet voordat ze de broncode te koop hadden aangeboden in een speciale Telegram-groep.

“Door de verkoop of het lekken van de broncode zijn er na de sluiting nieuwe varianten ontstaan, zoals RebirthLTD, Komaru, Cecilio Network, enz.”, aldus de onderzoekers. “Hoewel de verschillende varianten door verschillende groepen kunnen worden beheerd, is er weinig variatie in de code, het communicatieontwerp, de strings, de decoderingsmethoden, enz.”

Onderzoekers demonstreren DNSBomb

De onthulling komt nadat details naar voren zijn gekomen over een praktische en krachtige ‘pulserende’ Denial-of-Service (PDoS)-aanvalstechniek genaamd DNSBomb (CVE-2024-33655) die, zoals de naam al aangeeft, misbruik maakt van de DNS-query’s (Domain Name System). en reacties om een ​​versterkingsfactor van 20.000x te bereiken.

De aanval maakt in de kern gebruik van legitieme DNS-functies zoals limieten voor de querysnelheid, time-outs voor query-respons, aggregatie van query's en instellingen voor de maximale responsgrootte om getimede stromen van reacties te creëren met behulp van een kwaadwillig ontworpen autoriteit en een kwetsbare recursieve oplosser.

“DNSBomb maakt gebruik van meerdere breed geïmplementeerde DNS-mechanismen om DNS-query's te verzamelen die in een laag tempo worden verzonden, queries te versterken tot grootschalige antwoorden en alle DNS-reacties te concentreren in een korte, periodieke pulserende burst met hoog volume om tegelijkertijd doelsystemen te overweldigen, ” Xiang Li, een Ph.D. kandidaat aan het Tsinghua University NISL Lab, zei.

CatDDoS Botnet en DNSBomb DDoS-aanval

“De aanvalsstrategie omvat het spoofen van meerdere DNS-query's naar een domein dat door de aanvaller wordt beheerd, en vervolgens het achterhouden van antwoorden om meerdere antwoorden te verzamelen. DNSBomb heeft tot doel slachtoffers te overweldigen met periodieke uitbarstingen van versterkt verkeer die moeilijk te detecteren zijn.”

De bevindingen werden vorige week gepresenteerd op het 45e IEEE Symposium over beveiliging en privacy dat vorige week in San Francisco werd gehouden en eerder op het GEEKCON 2023-evenement dat in oktober 2023 in Shanghai plaatsvond.

Het Internet Systems Consortium (ISC), dat de BIND-softwaresuite ontwikkelt en onderhoudt, zei dat het niet kwetsbaar is voor DNSBomb, en voegde eraan toe dat de bestaande maatregelen voldoende zijn om de risico's van de aanval te beperken.

Thijs Van der Does