0
I ricercatori di Akamai, Cloudflare, punto di Infiammabilità, Google, Oracle Dyn, RiskIQ, Team Cymru, e gli altri hanno unito le forze per combattere WireX, una botnet trovato targeting content delivery network (Cdn) e fornitori di contenuti.
WireX comprende principalmente i dispositivi Android in esecuzione di applicazioni dannose ed è progettato per creare DDoS traffico, un post sul blog compilato il consorzio di ricerca, spiega.
Secondo il post, Google ha rilevato il malware disponibile sul Play Store un paio di giorni fa e rimosso centinaia di applicazioni interessate e ha iniziato il processo per rimuovere le applicazioni da tutti i dispositivi.
Il gruppo di ricerca ritiene WireX potrebbe essere stato attivo agli inizi di agosto 2, ma ha detto che era gli attacchi, il 17 agosto, contro il Cdn e i fornitori di contenuti che ha attirato l’attenzione.
Il 2 agosto attacchi sono stati contrassegnati come minori, come erano inosservato fino a quando i ricercatori hanno cominciato a cercare il 26 caratteri stringa Agente Utente in registri, il blog spiega.
“Questi attacchi iniziali erano minime e suggeriscono che il malware è stato in fase di sviluppo o nelle prime fasi della distribuzione,” ha continuato.
WireX botnet di indirizzi IP univoci per ora
Screenshot: Asha McLean/ZDNet
Più prolungati attacchi a partire dal 15 agosto sono state individuate, con alcuni eventi di provenienza da un minimo di 70.000 concorrenti indirizzi IP. Dopo l’analisi, è stato rilevato che i dispositivi da più di 100 paesi hanno partecipato il 17 agosto di attacco, un insolito evento, secondo il gruppo di ricerca.
WireX è un volumetrico attacco DDoS a livello di applicazione.
Il traffico generato dall’attacco dei nodi è principalmente richieste HTTP GET, anche se alcune varianti sembrano essere in grado di emettere le richieste POST, hanno spiegato i ricercatori.
“In altre parole, la botnet produce il traffico di simili richieste valide da un generico client HTTP e web browser”, il post spiega, sottolineando la botnet è nominato per un anagramma uno dei delimitatore di stringhe di comando e di controllo protocollo.
Iniziale ricercatori raggiunto i compagni in altre organizzazioni per la verifica di ciò che stavano vedendo. Ancora una volta gli occhi su di indagine, a partire con l’indagine del centro storico di registrare le informazioni, il blog ha detto che ha rivelato un collegamento tra l’attacco IPs e qualcosa di dannoso, possibilmente che gira su sistema operativo Android.
“Abbiamo identificato circa 300 apps associati con il problema, bloccati dal Play Store, e siamo nel processo di rimozione di loro da tutti i dispositivi interessati,” Google è citato come dicendo il gruppo di ricerca.
Molti identificato apps cadde nelle categorie di lettori multimediali, suonerie, o strumenti come responsabili della conservazione e app store con ulteriori funzionalità nascoste che non sono immediatamente evidenti per gli utenti finali che sono stati infettati, il blog spiega.
“Il lancio di applicazioni, il nefasto componenti iniziano il loro lavoro, avviando il comando e il controllo di polling servizio che interroga il server di comando e controllo, più comunemente g.axclick.store, per i comandi d’attacco. Quando attacco i comandi ricevuti, l’analisi del servizio ispeziona il raw attacco di comando, lo analizza, e richiama l’attacco di servizio con l’estratto parametri”, i ricercatori hanno detto.
“È probabile che questo malware utilizzato per essere collegato con la frode di scatto, ma è stato riproposto per DDoS.”
Sulla scia della Mirai attacchi, i ricercatori hanno detto che la condivisione delle informazioni con gruppi come quella formata per combattere WireX hanno visto una recrudescenza nella speranza di risolvere internet-problemi a livello di.
All’indomani della diffusione globale del WannaCry ransomware, e la successiva Petya scoppio, i criminali informatici sembra essere mettere un sacco di sforzo in via di sviluppo particolarmente feroce ceppi di ransomware. Tuttavia, il gruppo di ricerca ha detto che ha solo rafforzato il valore della collaborazione.
“Questa ricerca è molto interessante, perché si tratta di un caso di studio in quanto sia efficace la collaborazione tra l’industria”, ha detto Allison Nixon, direttore della Ricerca sulla Sicurezza punto di Infiammabilità. “Questo è stato più di un malware report di analisi. Il gruppo di lavoro è stato in grado di collegare i puntini dalla vittima, l’aggressore. Inoltre, il gruppo ha usato le informazioni per attenuare l’attacco e smontare la botnet — e questo è stato completato molto rapidamente.
“Una botnet di questa estrema dimensioni è materia per il bene di internet nel suo complesso.”
Più notizie di sicurezza
Gli hacker intoppo a $1 computer portatile, sfruttando la falla nel punto di sistemi di vendita
Nonostante privacy, oltraggio, AccuWeather azioni ancora dati precisi sul luogo con ad imprese
Perché la CIA creare un falso software di aggiornamento? Per rubare i dati dell’FBI, NSA
VMWare rilascia AppDefense per proteggere enterprise ambienti virtuali
0