GETOVERX FORUM Community Support   ›   Malware Docs   ›   Botnets / Bots   ›   Goldoon (2022)

  • 1 Vote(s) - 2 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Goldoon (2022)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 04:18 PM (This post was last modified: 12-07-2025, 04:39 PM by mrwebfeeder.)
Nombre: Goldoon

Categoría: Botnet / IoT malware (tipo Mirai)

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y qué infecta):
  • SSH brute force:
    - Escanea rangos de IP en busca de servicios SSH expuestos.
    - Intenta acceso con credenciales débiles o por defecto mediante ataques de fuerza bruta.
    - Una vez que logra autenticarse, descarga y ejecuta binarios ELF maliciosos en el dispositivo comprometido.
  • Mirai-like DDoS:
    - Los equipos infectados se unen a una botnet capaz de lanzar ataques de denegación de servicio distribuidos (DDoS).
    - Soporta patrones típicos de Mirai-like:
    - Floods TCP/UDP hacia puertos específicos de la víctima.
    - Ataques volumétricos coordinados desde múltiples nodos IoT/servidores.
  • Plataformas afectadas:
    - Principalmente sistemas Linux y dispositivos IoT/servidores con SSH expuesto y contraseñas débiles.

Hash real de referencia (SHA-256):
Muestra pública asociada a Goldoon:
Code:
c98f8e771ff9e38a158cf47c41bb4be053ea5d4c1fada37a33d0ceb6f10f5233

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Network firewall blocks brute force attempts:
    - Configurar el firewall perimetral / de red para:
    - Limitar el acceso SSH únicamente desde IPs de administración autorizadas.
    - Aplicar listas de control de acceso (ACL) que bloqueen intentos masivos de conexión SSH desde Internet.
    - Habilitar reglas de detección de:
    - Múltiples intentos de login fallidos desde la misma IP (patrón de fuerza bruta).
    - Escaneos sistemáticos de puertos hacia 22/TCP.
    - Opcional: usar protección de rate-limiting para conexiones SSH y sistemas de bloqueo temporal (fail2ban u otros) alrededor del servicio.

  • AV quarantine ELF variants:
    - Usar el motor AV de GetOverX Shield en servidores Linux supervisados para:
    - Detectar y poner en cuarentena binarios ELF asociados a Goldoon y otras variantes Mirai-like.
    - Escanear directorios habituales:
    -
    Code:
    /tmp
    ,
    Code:
    /var/tmp
    ,
    Code:
    /home/*
    , y directorios de servicios.
    - Integrar reglas YARA (si están disponibles) para identificar patrones de botnets IoT y binarios multi-arquitectura.

  • EDR detects SSH attack patterns:
    - Configurar el EDR para:
    - Correlacionar eventos de autenticación SSH fallida en corto intervalo de tiempo.
    - Marcar como sospechosos hosts que:
    - Generan tráfico de salida masivo tipo DDoS hacia un mismo destino.
    - Ejecutan repentinamente procesos desconocidos relacionados con redes/binaries en
    Code:
    /tmp
    .
    - Acciones recomendadas:
    - Aislar temporalmente los hosts que muestren patrones de DDoS o indicadores fuertes de compromiso por Goldoon.
    - Registrar detalle (IP origen, usuario intentado, binario ejecutado, destinos atacados) en los logs unificados para análisis.

  • Buenas prácticas adicionales:
    - Forzar cambio de contraseñas débiles en todos los sistemas con SSH expuesto.
    - Habilitar autenticación por clave pública en lugar de sólo usuario/contraseña cuando sea posible.
    - Mantener firmware/OS de dispositivos IoT y servidores actualizado con parches de seguridad.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)