Noll
Arkiv Bild
Den WireX botnet tog kombinerade insatser av säkerhet forskare och leverantörer för att stappla tidigare i år, men skaparna av skadlig kod som används för att förslava Datorer till nätverk är tillbaka och har ökat WireX arsenal.
I augusti, forskare från Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru, och andra som gått samman för att kastrera den WireX botnät, som upptäcktes på grund av riktade attacker mot innehållsproducenter och content delivery networks (Cdn).
Botnät förslavar infekterade mobila enheter och, i den traditionellt sätt av ett botnät, använder en command & control (C&C) center för att ge kommandon.
Verksamhetsutövaren är i stånd att tvinga slav-enheter för att översvämma nätet domäner och tjänster med olagliga trafik utan ägarens samtycke, vilket leder till distributed denial-of-service (DDoS) attacker som kan störa tjänster och hindra legitim trafik från att nå sin destination.
Förra månaden, Google upptäckte malware hade sluppit igenom och var gömda i appar som finns på Play Store. Flera hundra program var snabbt bort, men botnät hade redan bildats.
En serie små attackerna ägde rum, men det var inte förrän den 17 augusti som forskare verkligen tog del av WireX. På denna dag, botnät inledde en attack med minst 70 000 samtidiga IP-adresser, med enheter i över 100 länder äventyras.
På den tiden, forskare trodde att det skadliga programmet var i tidiga stadier av utveckling, och det verkar denna förutsägelse har ringt sanna med ny funktionalitet nu på horisonten.
Denna vecka, cybersäkerhet fast F5 sade företagets säkerhets team har upptäckt en ny kamrat thingbot — ett botnät äventyras mobil och Internet of Things (IoT) – enheter-för att WireX.
I ett blogginlägg, forskarna sade att de har hittat en variant som, i tillägg till det ursprungliga HTTP översvämningar kapacitet som används för DDoS-attacker i augusti, har nu stöd för UDP översvämningar, en typ av DoS-attack som mål slumpmässiga portar på ett offer värd med IP-paket som innehåller User Datagram Protocol (UDP) paket.
Laget analyserade en bot att använda skadlig kod på som innehöll 50 trådar, som alla kan skicka 10 miljoner UDP-paket på 512 bytes.
“Precis som i ett FÅ översvämning, bot bläddrar en specifik command and control (C&C) URL (i detta fall, “u.axclick.store”) för att få information om attacken mål,” F5 förklarar. “Responsen har målet domän och hamnen i HTML “title” delimeted av konstant “snewxwri” sträng, liknande de FÅ översvämning instruktion.”
När programmet startas, skadlig kod öppnar standard Android-webbläsaren 10 gånger, som härmar clickfraud funktionalitet — och kan utvecklas till just det i framtida versioner av skadlig kod.
Med de flesta DDoS-baserade skadlig kod, det finns vanligtvis två kommandon som skickas samtidigt till att upprätthålla paket flöden. En länk till den C&C-server för kommandon, medan den andra utför ett paket-skicka loop.
Den WireX malware variant verkar inte stödja detta. I stället för att be C&C-server för en attack varaktighet, WireX måste ständigt begär denna information.
Det skadliga programmet, tycks dock bättre rustade nu och är fortfarande under utveckling”, enligt teamet. Den skadliga koden nu finns webbläsaren-liknande funktionalitet och motstånd mot sådana element som cookie stöd, omdirigeringar, och JavaScript.
“När man jämför WireX DDoS funktionalitet och arbetssätt till andra Windows-och Linux-DDoS-malware familjer, den har fortfarande en bra bit till gammal som en effektiv, fullfjädrad DDoS-bot,” forskarna säger. “WireX malware fortfarande verkar vara i sin QA-fas, att döma av de många lite olika varianter i de vilda och de begränsade typer av attacker och funktionalitet det ger för närvarande.”
Tidigare och relaterade täckning
Tor-Projektet ökar stöd för anonyma mobil surfning KHRAT Trojan sveper över Kambodja Nationella Instrument fläckar LabVIEW kod fel
Mer säkerhet nyheter
En kritisk Apache Struts säkerhetsbrist som gör det “lätt” att hacka Fortune 100-företag
Tillbaka till skolan: Varning över nätfiske inriktning studenter
Hacka attack på energi företag höjer sabotage rädslor
Vad är nätfiske? Hur att skydda dig från bedrägeri post och mycket mer
0