Nul
Zonder twijfel, botnets gericht op cryptocurrency mijnbouw is een van de meest actieve vormen van malware-infecties in 2018.
Nieuwe botnets verschijnen links en rechts als we zijn te geloven dat de veiligheid van onderzoekers van de Chinese beveiligingsbedrijf Qihoo 360, die zei deze week dat ze het ontdekken van nieuwe gevallen op een dagelijkse basis.
Niet alle van hen kan rendabel zijn, zoals een recente Malwarebytes rapport heeft aangetoond, maar dat betekent niet stoppen met cyber-criminelen uit te proberen.
Ook: Waarom cryptocurrency mijnbouw malware is de nieuwe ransomware
Hoewel de meeste botnets zijn een kopie van elkaar, eenmaal in een tijdje onderzoekers plek die opvalt boven de menigte. Deze week, de cryptomining botnet, dat nam de kroon, in termen van creativiteit, ontdekt men door het Netlab team op Qihoo 360.
En volgens het Netlab team, het ding dat stond over dit botnet was dat in plaats van te laten besmette bots te verbinden naar een externe server via een directe verbinding, de auteurs werden met behulp van de ngrok.com service voor in de plaats.
Voor de lezers niet op de hoogte van ngrok, deze site is een eenvoudige reverse proxy gebruikt om Internet-gebruikers verbinding maken met servers achter een firewall of op de lokale machines die niet beschikken over een openbaar IP-adres.
De service is erg populair bij bedrijven omdat het de mogelijkheid biedt werknemers een manier om verbinding te maken met corporate intranetten. De service is ook gebruikt door thuisgebruikers, meestal freelance ontwikkelaars, te laat klanten preview toepassingen zijn in ontwikkeling.
In de meeste gevallen een gebruiker waarop een server op zijn lokale machine, registers met ngrok, en krijgt een URL in de vorm van [random_string].ngrok.io dat hij dan aandelen met een klant of vriend om hem te laten een voorbeeld van een lopend project.
Ook: Windows en Linux Kodi gebruikers die geïnfecteerd zijn met malware cryptomining
Volgens Netlab onderzoeker Hui Wang, ten minste één cryptomining botnet operator is ook bekend met deze service en is te gebruiken voor het hosten van een command and control (C&C) server achter ngrok de proxy-netwerk.
Maar naast de anonimiteit, het botnet operator verschijnt ook indirect opgedaan veerkracht tegen elke poging om de takedowns van zijn C&C-server.
Als Hui legt uit dat dit gebeurt omdat ngrok.io Url ‘ s blijven online voor slechts ongeveer 12 uur, en tegen de tijd dat de beveiliging onderzoekers identificeren van een nieuwe C&C URL, de ngrok.io-link verandert in een nieuwe, door het verbergen van het botnet van de onderzoekers weer. Dit maakt het botnet om te overleven, meer dan andere botnets die als host van de C&C-servers op populaire hosting platforms waar security bedrijven kunnen meestal ingrijpen via misbruik aanvragen.
Maar dat is waar het botnet van de creativiteit eindigt. Naast de handige C&C truc, dit botnet maakt gebruik van een ietwat simpele make-up voor de interne structuur.
Hui zegt het botnet bestaat uit vier belangrijke componenten, die voor zich zelf sprekende namen. De Scanner scant het Internet voor toepassingen kwetsbaar voor bekende exploits; de Reporter neemt de zorg van de client-server communicatie; de Loader downloaden en infecteert een heir; en de Mijnwerker is de eigenlijke app geïnstalleerd op de server genereert cryptocurrency voor het botnet operator.
Ook: Nieuwe Hakai IoT botnet neemt gericht op de D-Link, Huawei, en Realtek routers
Momenteel Hui zegt het botnet is gericht op een assortiment van web applicaties en Cms ‘ en zoals Drupal, ModX, Dokwerker, Jenkins, Redis, en CouchDB.
Er is ook een module om te scannen op lokale Ethereum portemonnee, maar deze is niet actief. Aan de andere kant, een module die injecteert de Coinhive JavaScript-bibliotheek in alle van de server-JS-bestanden is actief, wat betekent dat het botnet ook mijn Monero in de browsers van de gebruikers van het bezoeken van een website die gehost worden op de geïnfecteerde servers.
Deze bijzondere botnet is niet erg succesvol is, vergeleken met andere botnets hebben gemaakt dat miljoenen dollars van de v.s., en volgens Hui, de exploitant van gemaakt ongeveer 70 XMR munten, dat is rond de $7,800. In termen van het botnet operaties, dit is alleen zakgeld.
Een technische analyse en een aantal indicatoren van het compromis (IOCs) zijn beschikbaar in Netlab het verslag hier.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0