Botnet beest: Hoe om te doden van de DDoS-dragon
Botnets en DDoS-aanvallen blijven groeien in omvang. De aanpak ervan is geen gemakkelijke taak.
Een nieuwe malware-campagne, gericht op Windows-machines beschikt over een nieuwe techniek om de controle van de resulterende botnet, met de groep achter het verbergen van hun communicatie gebruik van een P2P netwerk.
Nagesynchroniseerde IPStorm – kort voor de Interplanetaire Storm – door de cyber criminele exploitanten, de campagne werd ontdekt in Mei. Het is mogelijk dat de auteur zich heeft genomen inspiratie voor de naam van de Storm – een P2P-worm-campagne die werd berucht na het eerste ontstaan in 2007. Het is niet bekend wie de auteur van IPStorm is of waar ze actief zijn, maar de malware heeft een “omgekeerde shell” functionaliteit die hackers in staat stellen tot het uitvoeren van willekeurige PowerShell code op de geïnfecteerde computer.
Wat interessant is over de malware, volgens de onderzoekers van cyber security bedrijf Anomali, is dat het de eerste malware in het wild ontdekt dat met behulp van IPFS’ p2p netwerk voor het commando en de controle van de communicatie. Met behulp van een legitieme p2p-netwerk, de malware kan verbergen haar netwerk het verkeer tussen de legitieme p2p netwerk verkeer.
De IPFS is een open source P2P file-sharing netwerk dat tot doel heeft te fungeren als een middel van het delen en opslaan van bestanden, met gebruikers downloaden en hosting-content in een gedecentraliseerd systeem. Voorbeelden van de toepassing wordt gebruikt voor het hosten van een versie van Wikipedia die u kunt openen in landen waar de toegang tot deze is geblokkeerd.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Geschreven in de Go programmeertaal, het is nog onzeker hoe IPStorm begint de eerste infecties, maar de grootte van de malware pakket betekent de code is opgesplitst in meerdere delen. Dit geeft aan dat de aanvallers goed thuis zijn in de software-ontwikkeling, want dit maakt de malware eenvoudiger te beheren en updaten.
“Door het breken van functionaliteit in verschillende Go pakketten de codebase is makkelijker te onderhouden. Ook de dreiging acteur kan breakout dingen in modules om het makkelijker te maken om te ruilen of hergebruik van functionaliteit,” Joakim Kennedy, threat Intelligence manager bij de Anomali Threat Research Team vertelde ZDNet.
IPStorm komt ook bouwen met meerdere antivirus-ontduiking technieken, zoals slapen en geheugen toewijzingen aan onopgemerkt blijven, nadat u het heeft zijn weg gevonden naar een Windows-systeem en zelf geïnstalleerd in een map van een vooraf vastgestelde lijst, zijn met de meeste van de nep-mappen met betrekking tot Microsoft of Adobe systems. Het idee is dat, zelfs als een gebruiker ziet de map, zullen ze niet denken dat veel van.
Het uitvoerbare bestand wordt opgeslagen in deze map en neemt ook een naam willekeurig gekozen naam van een vooraf gedefinieerde lijst. De aanvallers lijken te zijn het maken van een poging om ervoor te zorgen dat IPStorm is moeilijk te ontdekken op geïnfecteerde machines.
Momenteel is het uiteindelijke doel van deze campagne is nog steeds onbekend – maar het kan worden gebruikt voor allerlei soorten schadelijke activiteiten.
“Botnets worden meestal gebruikt voor DDoS, waar het maken van back trojaanse paarden, of het bouwen van proxy-netwerk. De bot kan de dreiging acteur uitvoering van een PowerShell code van hun keuze. Het botnet wordt voortdurend bijgewerkt zodat nieuwe functies kan ten alle tijde worden toegevoegd,” zeide Kennedy.
In de analyse van de malware, onderzoekers er rekening mee dat, terwijl IPStorm is alleen gericht op Windows-systemen voor nu, van metadata in de malware samples suggereert dat de aanvallers mogelijk in het proces van het compileren van het infecteren van andere besturingssystemen.
Anomali schat dat in juni 2019, het botnet is gemaakt van net geen 3000 machines – hoewel de relatief kleine omvang is het waarschijnlijk neer op hoe IPStorm is nog in de vroege stadia van de evolutie.
Echter, op het moment van de Interplanetaire Storm onderzoek wordt gepubliceerd, onderzoekers zeggen dat slechts de helft van de motoren op VirusTotal vlag als iets schadelijks, – wat betekent dat het in deze tijd zou kunnen verspreiden relatief onopgemerkt als het botnet zich uitbreidt. Kennedy vertelde ZDNet er is een eenvoudige manier om te voorkomen slachtoffer te worden van deze campagne.
“Als IPFS is gebruikt, niet door iets op uw netwerk, het uitvoeren van de bootstrap ip’ s kunnen worden geblokkeerd om te voorkomen dat potentiële bots van de verbinding met het botnet,” zei hij.
Anomali heeft geplaatst van de Indicatoren van het Compromis voor IPStorm in hun analyse van de malware.
LEES MEER OVER CYBER CRIME
Dit wordt nieuwe malware scannen het internet voor systemen info op waardevolle doelenHoe te voorkomen dat de botnet-aanvallen en andere cyberdreigingen: 4 tips [TechRepublic]Malware en botnets: Waarom Emotet domineert de kwaadaardige bedreiging landschap in 2019kunnen We niet stoppen met botnet-aanvallen alleen, zegt ONS een rapport van de regering [CNET]Deze bijzondere nieuwe IoT botnet verspreidt zich snel via peer-to-peer-communicatie
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters