Nul
God fyr vagtværn, eller fejl i kodning? En mærkelig botnet har optrådt på scenen, som i stedet for at inficere enheder, for at slavebinde dem, ser ud til at være rent faktisk at tørre dem rene for cryptocurrency minedrift malware.
Mandag, forskere fra Qihoo er 360Netlab sagde, at Fbot, et botnet, der er baseret på Satori botnet-kodning, er at demonstrere nogle meget mærkelig opførsel for et sådant system.
Satori er et botnet-variant baseret på Mirai, den berygtede botnet, der var i stand til at tage ned online-tjenester på tværs af hele landet.
Satori ‘ s kode, der blev offentliggjort i januar. Siden da har vi set varianter som mål minedrift rigge til cryptojacking formål; dem, der kommer udstyret med exploits til router-kompromis, og andre, hvor der er fokus på implementering af Trojanske nyttelast.
Botnets er generelt dårlige nyheder. De slavebinder sårbare enheder, såsom mobile enheder, Internet of Things (IoT) produkter og routere, og derefter disse enheder er slaver i deres hobetal til at drive alt fra automatiske spam-kampagner til distribueret denial-of-service (DDoS) angreb.
Se også: Ti hacker bygger Huawei-baseret botnet, slavebinder på 18.000 enheder på én dag
Men Fbot er ikke karakteristisk for din typiske botnet.
Forskerne siger, at Fbot dukkede op på radaren i sidste uge, og det ser den eneste job, dette botnet har, er at jage ned systemer smittet af en anden botnet, kom.ufo.miner, en variant af ADB.Miner.
ADB.Miner har været aktiv for sent. Botnet mål Android-enheder-herunder smartphones, Amazon Fire TV og set-top bokse — henblik på cryptojacking og i det skjulte minedrift for Monero (XMR) med hjælp af Coinhive minedrift script.
Den måde, Fbot og ADB-spredning er meget ens. Port TCP 5555 er scannet, og, hvis det er åbent, en nyttelast udfører skript som download og kør malware, samt etablere en kanal til operatørens command and control (C2) – server.
Men i Fbot ‘ s tilfælde, nyttelast afinstallerer ADB minedrift scripts og renser systemet.
CNET: Vi kan ikke stoppe botnet-angreb alene, siger den AMERIKANSKE regering rapport
Efter botnet har opsporet ADB malware processer, dræbt dem, og skrubbes væk ethvert spor af tidligere infektion, botnet-sletter sig selv.
Mens Fbot har DDoS-moduler arvet fra Mirai, forskerne har ikke logget nogen DDoS-angreb fra botnet.
Botnet er meget interessant af en anden grund — systemet ikke bruge en traditionel C2 struktur til at kommunikere. Normalt, DNS er standard, men Fbot har valgt blokkæden DNS-protokoller i stedet for.
TechRepublic: 6 grunde til, at vi har undladt at stoppe botnets
C2 domæne musl.lib er en top-niveau domæne, der ikke er registreret med ICANN, og derfor ikke kan løses via traditionelle DNS. I stedet botnet bruger EmerDNS, Emercoin.com’s decentrale blokkæden-baseret DNS-systemet.
“Valget af Fbot hjælp EmerDNS andre end de traditionelle DNS er ret interessant, det rejst bar for sikkerhed forsker[s] til at finde og spore botnet (security systems vil mislykkes, hvis de kun ser ved traditionelle DNS-navne), også det med at gøre[s] det sværere at jordfaldshul C2 domæne, i det mindste ikke relevant for ICANN medlemmer,” bemærker forskerne.
Fbot er et yderst usædvanligt botnet variant. Det kan dog ikke være en god fyr vagtværn på arbejde, blot søger at rydde op i vores inficerede systemer.
En alternativ årsag til botnet ‘ s rengøring opgaver kan være at tørre væk konkurrencen og inficere enheder med sin egen cryptojacking scripts eller malware i fremtiden. Enten måde, Fbot er et botnet værd at holde øje med.
Tidligere og relaterede dækning
Necurs botnet lancerer nyt angreb mod banker Nye XBash malware kombinerer ransomware, coinminer, botnet, og worm funktioner i dødelige combo Pc ‘ er stadig inficeret med Andromeda botnet malware, på trods af takedown
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0