EITest Script Finder e Considerações sobre a rede maliciosa que foi pro ralo!

EITest Script Finder e Considerações sobre a rede maliciosa que foi pro ralo!

Igor Andrade Quinta, 26 de Abril de 2018


Fala galera do debian-pb/consultalinux, beleza na represa?!

Iremos hoje falar sobre uma grande campanha/rede chamada EITest com intuitos maliciosos que esteve oculta durante um certo tempo. Hoje vivemos uma experiência, que resultou na remoção de arquivos que faziam parte desta rede de aproximadamente 52 mil máquinas zumbis. As atividades que existem desde 2011, e entrando em vários segmentos, como mineração de cryptomoedas através de arquivos js(Monero), esquemas de engenharia social, distribuição de tráfego, cliques/visualizações em sites para gerar popularidade/acessos e outros meios maliciosos.

Não se sabe o número certo de máquinas infectadas pela rede EITest, mas o número ultrapassa 50 mil máquinas zumbis, geralmente comprometida através de CMS's desatualizados por meios de exploits, principalmente WordPress segundo estátisticas.

Em meados de 2014, começou a usar botnets para realizar as ações maliciosas da rede, a Network EITest costumava redirecionar usuários para hostings comprometidos(Geralmente WordPress) e a vítima interagia com o malware distribuído pela rede ou também com atividades fraudulentas como phishing scams/tech scams.

Existiram casos de venda de tráfego roubado de sites comprometidos por até 20 dolares por 1,000 usuários, variando de 50 até 70,000 visitas, gerando de $1,000 até $1,400 dolares por bloco de tráfego.

No mês passado, a atividade por trás dessa rede de máquinas infectadas/zumbis consistiu principalmente em engenharia social e tech scams.

A SpamHaus, tomou o controle da rede maliciosa recentemente em conjunto com a abuse.ch e devido a isso as máquinas infectadas passaram por listagens de blacklist(CBL/SPamHaus), que quando você realiza o lookup nas respectivas spamlists/blacklists, você irá se deparar com as seguintes informações do EITest (CBL):

 

Então os 52,000 servidores que estavam antes a disposição da rede EITest, estão agora listados na Spamhaus/CBL Blacklist, acabei me deparando com este problema hoje, e tive que colocar a mão na massa para encontrar a conta que estava comprometida e fazia parte da rede.

Basicamente consiste em identificar o pacote disparado, que basicamente envolve no IP '192.42.116.41':

 

#!/bin/bash
#IgorAndrade Eitest Finder
#Version 1.1
#Run in a Screen for a better investigation
rm -rf /home/eitest.txt
while true
do
	#SpamHaus Honeypot, it will help us to find the account source
       hpot=$(echo 192.42.116.41)
	#it will get the info about the proccess, more details take a look on lsof manual
       lsof -Pni|grep $hpot
	#will enter on this if if the lsof command up is valid output matching with the ip of honeypot
	if [ $? -eq 0 ]
		then
			#it will get the pid proccess of attacker
			for saida in `lsof -Pni | grep $hpot | awk {'print $2'}`
			do 
			#it will give detailed where the file of attacker is and store it in a txt
			lsof -p $saida | egrep "cwd|DEL" | tee -a /home/eitest.txt
			done
			#just print at command line
			echo "The attacker was discovered take a look on: /home/eitest.txt"
		else
			#will keep investigate
			echo "Nothing Discovered yet..."
	fi
	sleep 1
done

 

É aconselhado executar em uma screen para melhor investigação, toda saída que é de suma importância, será armazenada em um arquivo chamado/localizado em /home/eitest.txt, o script ficará executando sempre dentro desta screen,até você cancelar (while/true):

Para identificação da conta comprometida, foi utilizado o comando lsof com os parâmetros -Pni, para identificar o pacote e usuário, inclusive o PID(muito importante):

php-cgi   11654        USUARIOAQUI    4u  IPv4 1009835293      0t0  TCP xxx.xxx.1xx.2:42790->192.42.116.41:80 (SYN_SENT)
php-cgi   24714        USUARIOAQUI    4u  IPv4 1010325826      0t0  TCP xxx.xxx.1xx.2:52696->192.42.116.41:80 (SYN_SENT)

No campo "UsuarioAqui" Iremos ter o usuário comprometido pelo eitest, com o PID, que é o segundo campo, iremos usar o comando lsof novamente no script com o parâmetro -p para encontrar a source e o arquivo que possui o conteúdo malicioso. Se olharmos o conteúdo malicioso do arquivo, veremos algo similar ao abaixo:
 

Agora é só desativar o arquivo, ou remover o conteúdo malicioso, geralmente o wordpress comprometido, vai utilizar uma versão obsoleta, neste caso de hoje, estava na versão 4.6.1 de nada mais nada menos que 2 anos atrás, meados de dezembro de 2016 :P

Enfim galera, encerro aqui meu compartilhamento de viagem de hoje, e qualquer coisa, chama que é noix <3

Partiu #Matrix!