Nul
Uden tvivl, botnets fokuseret på cryptocurrency minedrift har været en af de mest aktive former for malware infektioner i 2018.
Nye botnets er vist til venstre og højre hvis vi skal tro sikkerhed forskere fra Kinesiske vagtselskab Qihoo 360, der sagde i denne uge, at de er ved at opdage nye tilfælde på en daglig basis.
Ikke alle af dem kan være rentable, som de seneste Malwarebytes rapport har vist, men det betyder ikke stoppe cyber-kriminelle fra at forsøge.
Også: Hvorfor cryptocurrency minedrift malware er den nye ransomware
Selv om de fleste botnet er en kopi af en anden, en gang imellem forskere stedet en, der skiller sig ud fra mængden. I denne uge, cryptomining botnet, der tog kronen i form af kreativitet blev man opdaget af Netlab team på Qihoo 360.
Og ifølge Netlab team, de ting, der stod ud af, om dette botnet var, at i stedet for at lade inficerede robotter oprette forbindelse til en ekstern server via en direkte forbindelse, at forfatterne bruger de ngrok.com service i stedet.
For læsere uvidende om ngrok, dette websted er et simpelt reverse proxy, der bruges til at lade Internet-baseret brugere opretter forbindelse til servere, der er placeret bag firewalls eller på lokale maskiner, der ikke har en offentlig IP-adresse.
Den service er meget populær hos virksomhederne, fordi det giver medarbejdere en måde at oprette forbindelse til virksomhedens intranet. Det er også anvendes af private brugere, der normalt freelance udviklere, til at lade kunder preview-programmer, der er under udvikling.
I de fleste tilfælde, kan en bruger, vært for en server på sin lokale maskine, registre med ngrok, og får en offentlig URL-adresse, i form af [random_string].ngrok.io, som han deler med en kunde eller en ven til at lade ham se et eksempel på et igangværende projekt.
Også: Windows og Linux Koder brugere inficeret med malware cryptomining
Ifølge Netlab forsker Wang Hui, mindst én cryptomining botnet operatøren er også bekendt med denne service og har brugt det til at være vært for en kommando og kontrol (C&C) server bag ngrok proxy-netværk.
Men udover anonymitet, botnet-operatør, der også ser ud til at have indirekte har haft en modstandsdygtighed mod ethvert forsøg på takedowns af hans C&C server.
Som Hui forklarer, dette sker, fordi ngrok.io Webadresser ophold online, kun omkring 12 timer, og med den tid, sikkerhed forskere identificere en ny C&C-URL, ngrok.io-link skifter til en ny, skjule botnet fra forskere en gang mere. Dette gør det botnet til at overleve mere end andre botnet, der er vært C&C-servere på populære hosting platforme, hvor virksomheder kan normalt gribe ind via misbrug anmodninger.
Men det er, hvor botnet er kreativitet ender. Ud over den smarte C&C trick, denne særlige botnet bruger en noget simpel make-up til dets interne struktur.
Hui siger botnet består af fire hovedkomponenter, der alle som har selvforklarende navne. Den Scanner, der scanner Internettet for sårbare applikationer med kendte exploits, den Reporter, der tager sig af klient-server kommunikation, Loader downloads og inficerer et væld; og Miner er den faktiske app, der er installeret på den server, der genererer cryptocurrency for botnet-operatør.
Også: Ny Hakai IoT-botnet tager sigte på D-Link, Huawei, og Realtek routere
I øjeblikket, Hui siger botnet er rettet mod et sortiment af web-applikationer og cms ‘ er, såsom Drupal, ModX, Dokker, Jenkins, Redis, og Gkbd.
Der er også et modul til at scanne til den lokale Ethereum tegnebøger, men dette er ikke aktiv. På den anden side, et modul, der sprøjter Coinhive JavaScript-bibliotek i alle serverens JS-filer er aktiv, hvilket betyder, at botnet vil også mine Monero inde browsere brugere, der besøger et website, der er hosted på den inficerede servere.
Denne særlige botnet er ikke meget vellykket, når der sammenlignes med andre botnet, der har gjort millioner af US dollars, og ifølge Hui, dens operatør lavet omkring 70 XMR mønter, der er omkring $7,800. I form af botnet-operationer, dette er kun lommepenge.
En teknisk analyse, og en række indikatorer for kompromis (IOCs) er til rådighed i Netlab ‘ s rapport her.
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0