Zero
Senza dubbio, botnet focalizzata sulla cryptocurrency le operazioni di estrazione sono state uno dei più attivi forme di infezioni da malware nel 2018.
Nuova botnet sono che appaiono a sinistra e a destra se dobbiamo credere i ricercatori di sicurezza di sicurezza Cinese ditta Qihoo 360, che ha detto questa settimana che si stanno scoprendo nuove istanze su una base quotidiana.
Non tutti di loro può essere utile, come un recente report di Malwarebytes ha dimostrato, ma che non smette di cyber-criminali da provare.
Inoltre: Perché cryptocurrency di data mining malware è il nuovo ransomware
Sebbene la maggior parte di botnet sono una copia carbone di un altro, una volta in un mentre i ricercatori di uno spot che spicca tra la folla. Questa settimana, il cryptomining botnet che ha preso la corona in termini di creatività è stato uno scoperto dal Netlab team Qihoo 360.
E secondo il Netlab squadra, la cosa che spiccava su questa botnet che invece di lasciare infetti bot connettersi a un server remoto tramite una connessione diretta, i suoi autori sono stati utilizzando il ngrok.com il servizio invece.
Per i lettori ignari di ngrok, questo sito è un semplice proxy inverso per far basato su Internet agli utenti di connettersi ai server che si trovano dietro un firewall o in locale macchine che non dispongono di un indirizzo IP pubblico.
Il servizio è molto popolare con le imprese, perché consente a tutti i dipendenti un modo per connettersi a reti intranet aziendali. Il servizio è utilizzato anche da utenti domestici, di solito sviluppatori freelance, per permettere ai clienti di visualizzare in anteprima le applicazioni che sono in fase di sviluppo.
Nella maggior parte dei casi, un utente host di un server sul suo computer locale, si registra ngrok, e ottiene un URL pubblico in forma di [random_string].ngrok.io che poi condivide con un cliente o un amico per fargli anteprima di un progetto in corso.
Anche: Windows e Linux Kodi gli utenti infettati con malware cryptomining
Secondo Netlab ricercatore Hui Wang, almeno una cryptomining botnet operatore è anche familiarità con questo servizio è stato utilizzato per ospitare un comando e controllo (C&C) server dietro ngrok proxy di rete.
Ma oltre anonimato, la botnet operatore appare inoltre indirettamente, una capacità di resistenza contro qualsiasi tentativo di takedown del suo C&C server.
Come Hui spiega, questo accade perché ngrok.io Url rimanere online per solo circa 12 ore, e per il momento i ricercatori di sicurezza di identificare un nuovo C&C, URL, il ngrok.io link cambiamenti per uno nuovo, nascondendo la botnet da parte dei ricercatori, una volta di più. Questo permette la botnet per sopravvivere di più rispetto alle altre botnet che ospitano C&C server popolari piattaforme di hosting in cui le imprese di sicurezza di solito può intervenire tramite l’abuso di richieste.
Ma la botnet creatività estremità. Oltre il nifty C&C, trucco, questa particolare botnet utilizza un po ‘ semplice make-up per la sua struttura interna.
Hui dice la botnet è costituito da quattro componenti principali, tutti che si sono auto-esplicativi nomi. Lo Scanner esegue la scansione di Internet per le applicazioni vulnerabili all’exploit conosciuti; il Giornalista si prende cura di client-server di comunicazione; il Loader download e infetta un host; e il Minatore è l’effettiva applicazione installata sul server che genera cryptocurrency per la botnet operatore.
Anche: Nuovo Hakai IoT botnet che prende di mira D-Link, Huawei, e Realtek router
Attualmente, Hui dice la botnet è rivolto ad un assortimento di applicazioni web e Cms come Drupal, ModX, Mobile, Jenkins, Redis, e CouchDB.
C’è anche un modulo per la scansione locali Ethereum portafogli, ma questo non è attivo. D’altra parte, un modulo che inietta il Coinhive libreria JavaScript in tutti i server, file JS è attivo, nel senso di una botnet sarà anche il mio Monero all’interno del browser degli utenti che visitano un sito ospitato sul server infetti.
Questo particolare botnet non è estremamente di successo rispetto ad altre botnet che hanno fatto milioni di dollari, e secondo Hui, il suo operatore, di circa 70 XMR monete, che è di circa $7,800. In termini di attività di botnet, questo è solo ‘ di soldi in tasca.
Analisi tecnica e alcuni indicatori di compromesso (Ioc) sono disponibili in Netlab relazione, qui.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0