Botnät odjuret: Hur att dräpa DDoS-dragon
Botnät och DDoS-attacker fortsätter att växa i omfattning. Att ta itu med dem är ingen lätt uppgift.
En ny skadlig kod kampanj som syftar till att Windows-maskiner har en ny teknik för att styra den resulterande botnet, med gruppen bakom det döljer sin kommunikation med hjälp av ett P2P-nätverk.
Dubbade IPStorm – kort för Interplanetära Storm – av cyber kriminella aktörer, kampanj upptäcktes i Maj. Det är möjligt att författaren har tagit inspiration till namnet från Storm – en P2P-mask kampanj som blev ökänd efter att den först kom ut 2007. Det är inte känt vem som författare av IPStorm är eller där de är verksamma, men det skadliga programmet har en “omvänd shell” – funktionalitet som kan göra det möjligt för hackare att exekvera godtycklig PowerShell-kod på den infekterade maskinen.
Det intressanta med skadlig kod, enligt forskare på it-säkerhetsföretaget Anomali, är att det är den första skadlig kod som finns i det vilda som använder IPFS’ p2p-nätverket för sin ledning och styrning av kommunikation. Genom att använda en legitim p2p-nätverk, malware kan dölja sin nätverkstrafik mellan legitima p2p-nätverk trafik.
Den IPFS är ett open source-P2P fildelning nätverk som syftar till att fungera som ett medel för utbyte och lagring av filer med användare laddar ner och hosting innehåll i ett decentraliserat system. Exempel på dess tillämpning har används för att vara värd för en version av Wikipedia som kan nås i länder där tillgång till den är blockerad.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF (TechRepublic)
Skrivet i Går programmeringsspråk, det är fortfarande osäkert hur IPStorm börjar sin första infektioner, men storleken av malware paket innebär att koden är uppdelad i flera delar. Detta tyder på att angriparna är väl insatt i utveckling av programvara, eftersom detta gör malware enklare att hantera och uppdatera.
“Genom att bryta funktioner i olika Go paket kodbasen är lättare att underhålla. Också hotet aktör kan breakout saker i moduler för att göra det lättare att byta ut eller återanvända funktionalitet,” Joakim Kennedy, threat Intelligence manager på Anomali Hot forskargrupp berättade ZDNet.
IPStorm kommer också att bygga med flera antivirus skatteflykt, till exempel sömn och minne anslag till att förbli oupptäckt efter det att den har funnit sin väg till en Windows-system och installerade sig själv inuti en mapp från en förutbestämd lista, med de flesta av de falska mappar om Microsoft eller Adobe systems. Tanken är att även om en användare ser mapp, kommer de inte tror att mycket av det.
Den körbara filen är lagrade i denna mapp och tar också ett namn slumpvis utvalda namn från en förutbestämd lista. Angriparna tycks göra en ansträngning för att se till att IPStorm är svårt att upptäcka de infekterade maskiner.
För närvarande, är det yttersta målet för denna kampanj är fortfarande okänd, men det kan användas för alla typer av skadlig aktivitet.
“Botnät används vanligen för DDoS, som serverar stöd trojaner, eller bygga proxy nätverk. Boten gör att hotet aktör för att utföra någon PowerShell-kod i deras val. Botnät är ständigt uppdateras så att nya funktioner kan läggas till när som helst”, sade Kennedy.
I analysen av skadlig kod, forskarna notera att medan IPStorm bara är inriktad på Windows-system för nu, metadata i-malware prover tyder på angriparna är potentiellt i färd med att sammanställa det för att infektera andra operativsystem.
Anomali uppskattar att i juni 2019, botnät består av knappt 3 000 maskiner – trots sin relativt ringa storlek är sannolikt ner till hur IPStorm är fortfarande bara i början av sin utveckling.
Men vid tiden för den Interplanetära Storm forskning publiceras, forskare säger att endast hälften av motorer på VirusTotal flagga det som något skadligt, vilket innebär att vid denna tid det kan sprida sig relativt oupptäckt om botnät expanderar. Kennedy berättade ZDNet finns det ett enkelt sätt att undvika att falla offer för denna kampanj.
“Om IPFS används inte av något på ditt nätverk, bootstrapping IPs kan blockeras för att förhindra eventuella robotar från att ansluta till botnät”, sade han.
Anomali har postat Indikatorer Kompromiss för IPStorm i sin analys av skadlig kod.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Denna nya skadliga program skannar internet för system info om värdefulla målHur man undviker botnet-attacker och andra cyberthreats: 4 tips [TechRepublic]Malware och botnät: Varför Emotet dominerar skadliga hot landskapet 2019kan Vi inte stoppa botnet-attacker ensam, säger USA: s regering rapport [MAG]Denna ovanliga nya IoT botnet sprider sig snabbt via peer-to-peer-kommunikation
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter