Ett stort botnät har verksamheten varit attackera och ta över webben skal (bakdörrar på web-servrar) av annan skadlig verksamhet för mer än ett år, säkerhet forskare från Positiva Teknik avslöjade i dag.
Forskare knutna botnät till en tidigare Windows-trojan med namnet Neutrino (även känd som Kasidet), vars aktörer som verkar ha skiftat från att rikta in sig på skrivbordet användare online servrar, på vilken de har installerat en cryptocurrency-utvinning av skadlig kod.
Positiva Teknik sa att denna nya fas av Neutrino gang verksamheten startade i början av 2018, när gruppen samlades en multi-funktionell botnät som skannas random IP-adresser på internet, söka efter viss web apps och servrar för att infektera.
Att bryta mot andra servrar, Neutrino botnät används olika tekniker, såsom att använda bedrifter för gamla och nya sårbarheter, söka phpMyAdmin servrar som var kvar utan ett lösenord, men också brute-tvinga sin väg in root-konton för phpMyAdmin, Tomcat, och MS-SQL-system.
Det är inget speciellt nytt eller intressant i detta modus operandi, som genom denna punkt, detta är hur de flesta botnät fungerar numera.
Neutrino brute-krafter konkurrenternas web skal
Men, säkerhet forskare säger att de har också upptäckt Neutrino att göra udda saker, som inte syns i många andra botnät. Till exempel, Neutrino sökningar för Ethereum noder som var kvar att köra med default lösenord, ansluter till dessa system, och stjäl någon lokalt sparade medel.
Men det som satt Neutrino bortsett från de flesta andra cryptomining botnät som är aktiva idag var det fokus på kapning av web skal.
Webb skal är web-tillgänglig bakdörr skript som hackare växt på servrar som de klarar av att kompromissa.
Webb-skal som har ett webb-baserat gränssnitt till vilken hackare kan ansluta till och ge kommandon via sin webbläsare, eller en programmatiska gränssnitt som de skickar automatiska instruktioner.
Enligt Positivt Teknik, Neutrino har varit på jakt efter 159 olika typer av PHP-skal och två JSP (Java Server Pages) och kära.
Botnät sammanställer en lista över web skal, och sedan lanserar brute-force attacker i ett försök för gissa webben skal’ inloggningsuppgifter och ta över skalen — och underliggande servrar.
Botnät aktörer är ofta i konkurrens med varandra, men de flesta av den tid de infektera enheter och använda ett antivirus-liknande system för att hålla konkurrenter på avstånd och från att infektera samma enhet.
Det är ganska ovanligt när du ser en botnet kannibaliserar på annan skadlig kod botnet är infekterade värdar.
En mycket bullrig botnet
För Neutrino framgång, Positiva Teknik sade botnät har varit en av de topp tre avsändare av frågor till sina honeypots.
Baserat på bolagets utredning, botnät har varit ganska framgångsrik i infekterar Windows-servrar som kör phpStudy, en integrerad miljö för lärande populär främst populära bland Kinesiska utvecklare.
Men andra typer av servrar var också nedsatt, till exempel de som kör phpMyAdmin apps.
“För att skydda servrar från Neutrino-infektion, rekommenderar vi att administratörer in lösenordet för root-kontot, i phpMyAdmin,” sade Kirill Shipulin, säkerhet forskare vid Positiva Teknik. “Se till att plåstret tjänst och installera de senaste uppdateringarna. Kom ihåg, Neutrino uppdateras regelbundet med nya bedrifter.”
Teknisk information om Neutrino modus operandi är tillgängliga i Positiv Technologies rapport.
Säkerhet
Jag installerade Verizon gratis skräp call blocker och det verkar typ av hjälp
Slutet av snigel-post: Vår e-post bärare berövat oss och nu USPS är död för mig
Topp 10 säkerhet tillägg för Google Chrome
Varför vi är fortfarande förlora kampen mot phishing-attacker (ZDNet YouTube)
Trump upprepar Huawei som “national security hot” (CNET)
Dataintrång ökade med 54% 2019 så långt (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter