Noll
Utan tvekan, botnät fokuserade på cryptocurrency gruvbrytning har varit en av de mest aktiva former av skadlig kod infektioner i 2018.
Nya botnät visas till vänster och höger om vi ska tro säkerhet forskare från Kinesiska bevakningsföretag Qihoo 360, som sade i veckan att de upptäcker nya fall på en daglig basis.
Inte alla av dem kan vara lönsam, enligt en ny Malwarebytes rapport har visat att, men att inte stoppa cyber-brottslingar från att försöka.
Dessutom: Varför cryptocurrency gruv-malware är den nya ransomware
Även om de flesta botnät är en kopia av en annan, en gång i en stund forskare plats ett som sticker ut över mängden. Denna vecka, cryptomining botnät som tog kronan i termer av kreativitet var en upptäckt av Netlab team på Qihoo 360.
Och enligt Netlab laget, det som stod om detta botnet var att istället för att låta infekterade robotar att ansluta till en fjärrserver via en direkt-anslutning, dess författare var med ngrok.com service i stället.
För läsare som är omedvetna om ngrok, denna sida är en enkel reverse proxy används för att låta Internet-baserade användare ansluta till servrar som ligger bakom brandväggar eller på lokala maskiner som inte har en publik IP-adress.
Tjänsten är mycket populär bland företag, eftersom det gör att de anställda ett sätt att ansluta till företagets intranät. Tjänsten används också av hemanvändare, oftast frilansande utvecklare, för att låta kunder förhandsgranska program som är under utveckling.
I de flesta fall, en användare är värd en server på den lokala maskinen, register med ngrok, och blir en offentlig URL i form av [random_string].ngrok.io som han sedan delar med en kund eller vän att låta honom förhandsgranska ett pågående projekt.
Även: Windows och Linux Kodi användare infekterade med malware cryptomining
Enligt Netlab forskare Hui Wang, minst en cryptomining botnet operatören är också bekanta med den här tjänsten och har använt den för att vara värd för en command and control (C&C) server bakom ngrok proxy nätverk.
Men förutom anonymitet, botnät operatör verkar också ha indirekt fått en motståndskraft mot eventuella försök till nedtagningar av hans C&C-server.
Som Hui förklarar detta händer eftersom ngrok.io Webbadresser vistelse online för endast cirka 12 timmar, och med tiden säkerhet forskarna identifiera en ny C&C-URL, ngrok.io-link förändringar till en ny, för att dölja botnet från forskare en gång till. Detta gör att den botnet för att överleva mer än andra botnät som värd C&C-servrar på populära webbhotell plattformar där bevakningsföretag kan oftast ingripa med missbruk önskemål.
Men det är där botnet är kreativitet slutar. Förutom den fiffiga C&C-trick, detta särskilt botnät använder en ganska enkel make-up för dess interna struktur.
Hui säger botnät består av fyra viktiga komponenter, alla som har självförklarande namn. Skannern skannar Internet för applikationer utsatta för kända exploits, Reporter tar hand om klient-server-kommunikation; Loader nedladdningar och infektera en värd, och Gruvarbetare är den faktiska app installerat på den server som genererar cryptocurrency för botnät operatör.
Också: Nya Hakai IoT botnet tar fasta på D-Link, Huawei, och Realtek-routrar
För närvarande, Hui säger botnet är att rikta ett sortiment av webbapplikationer och Cms, såsom Drupal, ModX, Hamnarbetare, Jenkins, Åt, och CouchDB.
Det finns också en modul för att söka efter lokala Ethereum plånböcker, men detta är inte aktiv. Å andra sidan, en modul som injicerar Coinhive JavaScript-bibliotek i hela serverns JS-filer är aktiv, vilket innebär att botnät också min Monero inne webbläsare användare som besöker en webbplats värd på den infekterade servrar.
Detta särskilt botnät är inte mycket framgångsrik jämfört med andra botnät som har gjort miljontals dollar, och enligt Hui, dess operatör gjorde ungefär 70 XMR mynt, vilket är omkring $7 800 personer. I termer av botnät verksamhet, detta är endast fickpengar.
En teknisk analys och några indikatorer på kompromiss (IOCs) finns i Netlab s rapport här.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0