Muito pelo botnet peculiar foi detectado na natureza por pesquisadores Qihoo. o botnet, apelidado Fbot e com base no código de Satori, parece ser "apenas indo atrás e retirar outra com.ufo.miner botnet”. Fbot está exibindo outras formas de comportamento incomum. Ele não usa DNS tradicionais para se comunicar com o seu servidor de comando e controle.
Em vez de, ele usa DNS blockchain para resolver o nome C2 non-stand conhecido como musl.lib, os pesquisadores disseram. Finalmente, a botnet tem fortes ligações à botnet Satori originais.
Satori é um botnet que explora uma falha na Huawei e um bug em dispositivos baseados no SDK Realtek. Essas vulnerabilidades foram exploradas para atacar computadores e infecto. O botnet em si foi escrito em cima do devastador botnet Mirai Internet das coisas. operadores de Satori explorou duas vulnerabilidades particulares para alvejar com sucesso centenas de dispositivos.
Também deve-se notar que código de Satori foi lançado ao público em janeiro deste ano. Os operadores de botnets depois virou-se para a mineração criptomoeda. Esta variante Satori cortado em várias máquinas de mineração na internet através de sua porta de gerenciamento 3333 que executa o software Claymore Miner. O malware então substituído o endereço carteira nos hosts com seu próprio endereço carteira. Os dispositivos comprometidos foram principalmente com o Windows.
Botnets são geralmente malicioso em caráter. Contudo, Fbot é bastante diferente. Como reportado, Fbot está perseguindo sistemas infectados pelo com.ufo.miner, que é uma variante de ADB.Miner. ADB.Miner foi descrito como o primeiro worm para Android que reutilizado o código de varredura usada no infame Internet das coisas Mirai botnet.
ADB.Miner foi designado para procurar vários tipos de dispositivos Android variando de smartphones e TVs inteligentes para set-top boxes de TV. A única especificação é que estes dispositivos devem ser de depuração com ADB acessíveis publicamente interface usando porta 5555 to-run. Uma vez localizado, as infecta sem-fim-los com o módulo de mineração do malware que visa meu Monero criptomoeda.
Tendo dito isto, há uma semelhança na maneira que Fbot e ADB estão sendo distribuídos, e envolve porta TCP 5555. A porta é digitalizado e, no caso, é aberta, uma carga irá executar scripts que faça o download e executar o malware. A diferença é que Fbot desinstala os scripts de mineração ADB e limpa o sistema infectado.
Outra característica peculiar desta botnet benevolente é o uso de DNS não-tradicional. Na maioria dos casos, DNS é o padrão para a estrutura de comando e controle, mas não desta vez.
A escolha de Fbot usando diferentes DNS tradicional EmerDNS é bastante interessante, ele levantou a barra para pesquisador de segurança para encontrar e rastrear o botnet (sistemas de segurança falhará se eles só olhar para os nomes DNS tradicionais), Também torná-lo mais difícil de sumidouro do domínio C2, pelo menos não aplicável por membros da ICANN, Os pesquisadores explicado.
Existe uma razão para o comportamento botnet não-típico do Fbot?
Uma das razões que podem explicar por que a botnet está limpando hospedeiros infectados é que ele é simplesmente apagando a competição e limpar o caminho para as futuras infecções.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: