Nul
Goede kerel vigilante, of een fout in de codering? Een vreemde botnet is verschenen op het toneel, die in plaats van het infecteren van apparaten om hen tot slaaf te maken, en lijkt eigenlijk te vegen schoon van cryptocurrency mijnbouw malware.
Op maandag, onderzoekers van Qihoo de 360Netlab zei dat Fbot, een botnet op basis van Satori botnet codering, is het aantonen van een aantal zeer vreemd gedrag voor een dergelijk systeem.
Satori is een botnet variant gebaseerd op de Mirai, de beruchte botnet dat in staat was om online diensten voor een heel land.
Satori is de code werd vrijgegeven aan het publiek in januari. Sindsdien hebben we gezien varianten die doel mining rigs voor cryptojacking doeleinden; die zijn uitgerust met exploits voor router compromis, en anderen die zich richten op het implementeren van Trojan lading.
Botnets zijn over het algemeen slecht nieuws. Ze tot slaaf te maken met kwetsbare apparaten, zoals mobiele telefoons, Internet of Things (IoT) producten en routers, en vervolgens deze apparaten zijn slaaf in hun drommen om te rijden alles van automatische spam campagnes te distributed denial-of-service (DDoS) – aanvallen.
Zie ook: IoT hacker bouwt Huawei op basis van een botnet, verslaaft van 18.000 apparaten in één dag
Echter, Fbot is niet kenmerkend voor de typische botnet.
De onderzoekers zeggen dat Fbot verscheen op de radar de afgelopen week en het lijkt de enige taak van dit botnet is achtervolging systemen geïnfecteerd door een ander botnet, com.ufo.miner, een variant van ADB.Mijnwerker.
ADB.Mijnwerker is actief geweest de laatste tijd. Het botnet slachtoffers Android-apparaten-met inbegrip van smartphones, de Amazon Fire-TV en set-top boxes — voor het doel van cryptojacking en heimelijk mijnbouw voor Monero (XMR) met de hulp van de Coinhive mijnbouw script.
De manier Fbot en ADB spreiding is zeer vergelijkbaar. Poort TCP 5555 wordt gescand en, als deze open is, een lading voert scripts die downloaden en uit te voeren malware, en het oprichten van een kanaal aan de operator ‘ s command and control (C2) – server.
Echter, in Fbot het geval van de lading verwijderd ADB mijnbouw scripts en reinigt het systeem.
CNET: We kunnen niet stoppen met botnet-aanvallen alleen, zegt ONS een rapport van de regering
Na het botnet heeft opgespoord ADB malware processen, doodden hen, en geschrobd afstand elk spoor van de vroegere infectie, het botnet verwijdert zichzelf.
Terwijl Fbot heeft DDoS-modules overgenomen van Mirai, is de onderzoekers nog niet ingelogd een DDoS-aanvallen van het botnet.
Het botnet is zeer interessant om een andere reden — het systeem maakt geen gebruik van een traditionele C2 structuur te communiceren. Meestal, DNS is de standaard, maar Fbot heeft geselecteerd blockchain DNS-protocollen in de plaats.
TechRepublic: De 6 redenen waarom we er niet in geslaagd om te stoppen met botnets
De C2 domein musl.lib is een top-level domein dat niet is geregistreerd bij ICANN, en daarom niet kan worden opgelost via de traditionele DNS. In plaats daarvan, het botnet gebruikt EmerDNS, Emercoin.com’s decentrale blockchain-gebaseerde DNS-systeem.
“De keuze van de Fbot met EmerDNS andere dan de traditionele DNS is vrij interessant, de lat voor security-onderzoeker[s] te vinden en het bijhouden van het botnet (security systems niet als ze alleen maar kijken voor de traditionele DNS-namen), ook het maken[s] het moeilijker om sinkhole de C2 domein, ten minste niet van toepassing voor ICANN-leden,” de onderzoekers opmerking.
Fbot is een zeer ongebruikelijke botnet variant. Echter, het is misschien niet een good-guy vigilante op het werk gewoon op zoek te ruimen geïnfecteerde systemen.
Een alternatieve reden voor het botnet ‘ s schoonmaken van de rechten kunnen worden om weg te vegen van de concurrentie en infecteren apparaten met een eigen cryptojacking scripts of malware in de toekomst. Één van beide manier, Fbot is een botnet de moeite waard een oogje op.
Vorige en aanverwante dekking
Necurs botnet lanceert vers assault tegen banken Nieuwe XBash malware combineert ransomware, coinminer, botnet, en worm functies in dodelijke combo Pc ‘ s nog steeds besmet met het Andromeda-botnet malware, ondanks takedown
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0