Botnet bestia: Come uccidere il drago DDoS
Botnet e attacchi DDoS continuare a crescere in scala. Affrontare il loro non è un compito facile.
Un nuovo malware campagna che mira a macchine Windows dispone di una nuova tecnica per controllare la risultante di una botnet, con il gruppo dietro si nascondono le comunicazioni tramite la rete P2P.
Soprannominato IPStorm – breve per Interplanetario Tempesta – con la sua cyber criminali operatori, la campagna è stato scoperto nel mese di Maggio. È possibile che l’autore ha tratto ispirazione per il nome da Storm – un worm P2P campagna che è diventato famoso dopo che in primo luogo è emerso nel 2007. Non si sa chi è l’autore di IPStorm o il luogo in cui essi operano, ma il malware ha un “reverse shell” funzionalità che può consentire agli hacker di eseguire qualsiasi arbitraria PowerShell codice sulla macchina infetta.
La cosa interessante di malware, secondo i ricercatori di sicurezza di cyber ditta Anomali, è che è il primo malware che si trovano in natura che utilizza errori di pagina non valida’ rete p2p per il comando e controllo della comunicazione. Utilizzando un legittimo rete p2p, il malware in grado di nascondere il suo traffico di rete tra legittimi p2p traffico di rete.
Gli errori di pagina non valida è un programma open source di P2P di condivisione di file di rete che si propone di agire come un mezzo per condividere e memorizzare i file con gli utenti di scaricare e di hosting di contenuti in un sistema decentrato. Esempi di applicazione sono utilizzati per ospitare una versione di Wikipedia a cui si può accedere in paesi dove l’accesso è bloccato.
VEDERE: UNA strategia vincente per la sicurezza informatica (ZDNet relazione speciale) | Scaricare il report in formato PDF (TechRepublic)
Scritto nel linguaggio di programmazione Go, è ancora incerto come IPStorm inizia la sua iniziale infezioni, ma la dimensione del malware pacchetto significa che il codice è diviso in più parti. Questo indica che gli aggressori sono esperti nello sviluppo di software, perché questo rende il malware più semplice da gestire e aggiornare.
“Rompendo la funzionalità in diversi pacchetti di Andare codebase è più facile da mantenere. Inoltre, la minaccia attore in grado di breakout cose in moduli per rendere più facile scambiare o riutilizzare funzionalità,” Joakim Kennedy, threat Intelligence manager della Anomali Minaccia Team di Ricerca ha detto a ZDNet.
IPStorm arriva anche costruire con diversi antivirus tecniche di evasione, come il dormire e allocazioni di memoria per rimanere inosservato dopo che ha trovato la sua strada su un sistema Windows e installato all’interno di una cartella da una lista predeterminata, con la maggior parte dei falsi cartelle relative a Microsoft o Adobe systems. L’idea è che anche se un utente vede la cartella, non pensare troppo.
Il file eseguibile è memorizzato all’interno di questa cartella e prende anche un nome selezionati in modo casuale il nome da una lista predefinita. Gli aggressori sembrano essere fare uno sforzo per assicurare che IPStorm è difficile da scoprire su computer infetti.
Attualmente, l’obiettivo finale di questa campagna rimane ancora sconosciuta, ma può anche essere usato per tutti i tipi di attività dannose.
“Botnet sono di solito utilizzati per il DDoS, che serve di supporto trojan, o la costruzione di proxy di rete. Il bot permette la minaccia attore di eseguire qualsiasi PowerShell codice di loro scelta. La botnet vengono aggiornati costantemente nuove funzionalità possono essere aggiunte in qualsiasi momento”, ha detto Kennedy.
Nell’analisi del malware, i ricercatori di notare che, mentre IPStorm è solo il targeting i sistemi di Windows, per ora, i metadati nei campioni di malware suggerisce gli aggressori sono potenzialmente nel processo di compilazione per infettare altri sistemi operativi.
Anomali stima che nel giugno del 2019, la botnet è fatto di poco meno di 3.000 macchine – nonostante le sue piccole dimensioni è probabile che il come IPStorm è ancora nelle prime fasi della sua evoluzione.
Tuttavia, al momento di Interplanetario Tempesta di ricerca in corso di pubblicazione, i ricercatori dicono che solo la metà dei motori su VirusTotal bandiera come qualcosa di dannoso, nel senso che in questo momento potrebbe diffusione relativamente inosservato se la botnet si espande. Kennedy ha detto a ZDNet c’è un modo semplice per evitare di cadere vittima di questa campagna.
“Errori di pagina non valida se non è utilizzato da qualsiasi cosa sulla rete, l’avvio di IPs possono essere bloccati per evitare potenziali bot da collegare alla botnet”, ha detto.
Anomali ha inviato gli Indicatori di Compromesso per IPStorm nella loro analisi del malware.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Questo nuovo malware è la scansione di internet per i sistemi di informazioni preziose obiettiviCome evitare attacchi botnet e altre minacce informatiche: 4 consigli [TechRepublic]Malware e botnet: Perché Emotet domina la minaccia maligno paesaggio nel 2019non Possiamo fermare attacchi botnet da solo, CI dice rapporto del governo [CNET]Questo strano nuovo IoT botnet si sta diffondendo rapidamente in via peer-to-peer di comunicazione
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati