Ganske den ejendommelige botnet blev opdaget i naturen ved Qihoo forskere. den botnet, eftersynkroniseret Fbot og baseret på koden for Satori, ser ud til at være "bare at gå efter og fjerne en anden botnet com.ufo.miner". Fbot er at vise andre former for usædvanlig adfærd. Den bruger ikke traditionelle DNS til at kommunikere med sin kommando og kontrol-server.
I stedet, det bruger blockchain DNS til at løse de ikke-standen C2 navn kendt som musl.lib, forskerne sagde. Endelig, botnettet har stærke forbindelser til den oprindelige Satori botnet.
Satori er et botnet, der udnytter en fejl i Huawei og en fejl i Realtek SDK-baserede enheder. Disse sårbarheder er blevet udnyttet til at angribe og inficere computere. Den botnet selv blev skrevet oven på den ødelæggende Mirai tingenes internet botnet. Satori operatører udnyttet to særlige sårbarheder til succes målrette hundredvis af enheder.
Det skal også bemærkes, at Satori kode blev frigivet til offentligheden i januar i år. De botnet operatører senere vendte sig til cryptocurrency minedrift. Dette Satori variant hacket i forskellige minedrift værter på internettet via deres forvaltning havn 3333 der kører Claymore Miner softwaren. Den malware derefter erstattet tegnebogen adresse på værterne med sin egen tegnebog adresse. De kompromitterede enheder meste kører Windows.
Botnets er normalt skadelig karakter. Men, Fbot er helt anderledes. som rapporteret, Fbot jagter ned inficeret af com.ufo.miner, som er en variant af ADB.Miner. ADB.Miner blev beskrevet som den første orm til Android, der genbruges scanning kode, der bruges i den berygtede tingenes internet Mirai botnet.
ADB.Miner designet at scanne for forskellige former for Android-enheder lige fra smartphones og smart tv'er til tv-dekodere. Det eneste specifikation er, at disse enheder skal være med offentligt tilgængelige ADB debug interface ved hjælp havn 5555 at løbe. Når placeret, ormen inficerer dem med minedrift modul af malware, som søger at mine Monero cryptocurrency.
Have sagt, at, der er en lighed i den måde, Fbot og ADB bliver distribueret, og det indebærer Port TCP 5555. Porten scannes og, i tilfælde af det er åbent, en nyttelast vil udføre scripts, som henter og udføre malware. Forskellen er, at Fbot afinstallerer de ADB minedrift scripts og renser det inficerede system.
En anden ejendommelighed af denne godgørende botnet er brugen af ikke-traditionelle DNS. I de fleste tilfælde, DNS er standarden for kommando- og kontrolstruktur, men ikke denne gang.
Valget af Fbot hjælp af andre end traditionel DNS EmerDNS er temmelig interessant, det rejst bar for sikkerhed forsker at finde og spore botnet (Sikkerhed systemer vil mislykkes, hvis de kun ser for traditionelle DNS-navne), også det gøre det sværere at jordfaldshul C2-domænet, i hvert fald ikke for en ICANN medlemmer, forskerne forklarede.
Er der en grund til Fbot ikke-typiske botnet adfærd?
En grund, der kan forklare, hvorfor botnettet er rengøring inficerede værter er, at Det er simpelthen obliterating konkurrencen og bane vejen for dens fremtidige infektioner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: