De beveiliging onderzoeksteam van de Amerikaanse ISP CenturyLink hebben ontdekt dat een IoT botnet via een proxy is dataverkeer voor een YouTube-video ad fraude regeling.
De onderzoekers maakten deze ontdekking tijdens het onderzoeken van een IoT botnet bekend als TheMoon, die ze in eerste instantie begonnen met het bijhouden na het observeren van een aantal CenturyLink apparaten uitvoeren van identificatie brute-force-aanvallen tegen websites.
Een onderzoek naar deze apparaten onthuld infecties met de TheMoon IoT malware, en later ook sprake van het bestaan van een nooit-vóór-gezien module, ontworpen om te transformeren besmet routers en IoT apparaten in proxies voor de slechte verkeer.
TheMoon botnet is niet nieuw. Het is al sinds 2014, en het is een primaire wijze van infectie is door het gebruik van exploits om controle te krijgen over kwetsbare routers en IoT apparaten.
In zijn vroege dagen, het botnet was voornamelijk gebruikt voor DDoS-aanvallen, maar in de afgelopen jaren het botnet is gegaan relatief rustig op DDoS-radars, wat veel deskundigen geloven dat de botnet-exploitanten was overgeschakeld het botnet van een DDoS-kanon een proxy-netwerk.
Dit werd bevestigd in het begin van 2018, wanneer de onderzoekers van Qihoo 360 Netlab vond een eerste proxy-module. Nu, CenturyLink onderzoeksteam hebben gevonden een andere nooit-vóór-gezien module die bevestigt TheMoon de evolutie van DDoS bedreiging van een proxy-netwerk voor andere criminele groepen.
Gebaseerd op de huidige beschikbare gegevens TheMoon lijkt te werken als volgt:
Botnet-exploitanten gebruik van exploits te infecteren routers/IoT apparaten met de TheMoon malwareTheMoon malware downloads een extra proxy moduleModule opent een SOCKS5 proxy op geïnfecteerde devicesTheMoon operators huur toegang tot deze proxiesOther criminele grops het huren van een stuk van het botnet en stuur instructies naar de proxies op besmette apparaten op wat Url ‘ s om toegang te krijgen.
Volgens CenturyLink, in het afgelopen jaar, TheMoon botnet werd gebruikt voor de brute-force-aanvallen, identificatie vulling aanvallen, voor de reclame van fraude, het algemene verkeer verwarring, en meer.
In een rapport dat vandaag werd vrijgegeven, CenturyLink onderzoekers gecoverd één van de reclame-fraude ze hebben gezien uitgevoerd met TheMoon-geïnfecteerde apparaten.
Dit was mogelijk na het identificeren van 24 command-and-control-servers waarop TheMoon bots aangesloten en ontvangen instructies. Experts zeggen dat TheMoon operators links een poort blootgesteld online die uitgespuwd log gegevens uit deze C&C-servers, waardoor ze bespioneren hun werking.
“Elke server op het gemiddelde verzonden zeven berichten per seconde,” zei de CenturyLink Threat Research Labs. “In elk logboek is er een domein en URL die wordt verondersteld te vertegenwoordigen surfen op verzoek gemaakt naar de proxy. Een zes-uurs periode van één server resulteerde in aanvragen 19.000 unieke Url ‘ s op een hoogte van 2700 unieke domeinen.”
“Na het browsen van de Url’ s, het was duidelijk dat ze al had ingesloten YouTube-video ‘ s,” onderzoeker zei.
De ISP ‘ s vinden komt na de FBI, Google, en 20 tech industrie partners afsluiten van een gigantische reclame fraude netwerk met de naam 3ve afgelopen najaar.
Op een meer grappige side-note, TheMoon is ook het botnet dat op een gegeven moment besmet thuis routers lokken gewone internet gebruikers op adult dating sites. Exploit code verborgen in deze sites zou bellen naar de lokale IP-adressen, bekend worden toegewezen aan huis routers, en proberen te infecteren van de routers met TheMoon malware, terwijl de gebruiker surft op de site.
Meer zekerheid:
Hackers gaan na Cisco RV320/RV325 routers met behulp van een nieuwe exploitDOJ beweegt naar beneden te nemen Joanap botnet wordt geëxploiteerd door de Noord-koreaanse staat hackersAuthorities afsluiten xDedic marktplaats voor het kopen van gehackte serversJapanese regering is van plan om hack in burgers’ IoT apparaten
DailyMotion onthult identificatie vulling attackInternet experiment mis gaat, neemt een heleboel Linux routersCalifornia gouverneur tekenen land de eerste IoT veiligheid wet CNET
Hoe identificatie vulling bijgedragen tot 8,3 B schadelijke botnet aanmeldingen in het begin 2018 TechRepublic
Verwante Onderwerpen:
Het Internet van Dingen
Beveiliging TV
Data Management
CXO
Datacenters