Ein neues Botnet groß angelegte Angriffe Durchführung wurde von Sicherheitsexperten entdeckt worden,. Das Botnetz wird genannt DDG und ist die zweitgrößte Bergbau Botnet jemals verkündet. Seine Ziele sind die Redis und Orientdb Server.
DDG.Mining.Botnet Attacks Beschreibung
Ein paar Monate bemerken Netlab Forscher eine groß angelegte laufende Scan, Orientdb Datenbanken wurde Targeting. Nach einer weiteren Analyse, Die Forscher fanden heraus, dass dies „eine lang andauernde Botnet“, Die bei Bergbau Monero richtet. Netlab nannte das Botnet DDG.Mining.Botnet nach seinem Kern-Funktionsbaustein.
Nach Statistiken, das Botnet hat mehr abgebaut als 3,395 Monero, die zu mehr beträgt als $920,000, so dass es die zweitgrößte Monero Botnet nach dem MyKings Botnet.
Das Botnet hat zumindest seit Ende aktiv 2016 und war gründlich im Laufe aktualisiert 2017.
DDG verwendet eine C2 und HUB-Layout mit ihren Kunden zu kommunizieren,. Die HUB ist eine Reihe von IP-Adressen und Domain-Namen, die verwendet werden Miner-Programm zur Verfügung zu stellen für die kompromittiert Kunden zum Download.
Die Forscher auch fest, dass sie in der Lage waren zwei Domain-Namen zu registrieren und Doline, die durch das Botnet der v2011 eingesetzt wurden. Dank dieser Tätigkeit, es war ihnen möglich, einen genauen Blick auf die gesamte DDG Botnet Struktur zu haben.
DDG Botnet Monero Bergbau
Die Botnet-Anwendungen https://monero.crypto-pool.fr/ als Bergbaupool, und drei Monero Portemonnaies:
- Wallet # 14AxgKJtp8TTN9Ab9JLnvg7BxZ7Hnw4hxigg35LrDVXbKdUxmcsXPEKU3SEUQxeSFV3bo2zCD7AiCzP2kQ6VHouK3KwnTKYg
- Wallet # 245XyPEnJ6c2STDwe8GXYqZTccoHmscoNSDiTisvzzekwDSXyahCUmh19Mh2ewv1XDk3xPj3mN2CoDRjd3vLi1hrz6imWBR1
- Wallet # 344iuYecTjbVZ1QNwjWfJSZFCKMdceTEP5BBNp4qP35c53Uohu1G7tDmShX1TSmgeJr2e9mCw2q1oHHTC2boHfjkJMzdxumM
Offenbar, der Pool machte es möglich, dass die Forscher die Zahlungen der Geldbeutel zu überprüfen - insgesamt 3,395 Währung.
Die DDG Botnet nutzt die folgenden Remotecodeausführung Fehler: CVE-2.017-11.467. Durch diese Nutzung in Form eines Brute-Force-Angriffs, die Botnetz-Betreiber sind Kompromisse erfolgreich die oben genannten Server. Was schwierig ist, ist, dass die Cyber-Kriminellen hinter dieser Operation sind Targeting-Server mit leistungsfähigen Computing-Funktionen.
Wie für den Angriff selbst, es folgt diesem Rahmen:
- anfängliche Scanning: Cyber-Kriminelle nutzen die bekannten RCE Verwundbarkeit der Orientdb Datenbank den Angriff Nutzlast zu fallen;
- Stufe 1: Cyber-Kriminelle modifizieren lokalen Crontab geplanten Tasks, Herunterladen und Ausführen von i.sh (hxxp: //218.248.40.228:8443/i.sh) auf dem primären Server, damit es jeden synchronisiert 5 Minuten;
- Stufe 2: DDG durchquert die integrierte Datei hub_iplist.txt, es überprüft dann die Konnektivität von jedem einzelnen Eintrag und versucht, das entsprechende Miner Programm wnTKYg zum Download;
- Bergbau Bühnen: Das Bergmann-Programm initiiert, unter Verwendung der Rechenressourcen der kompromittierten Host-Bergbau für die Cyber-Kriminelle Brieftasche zu beginnen.
Es wird dringend für Computer-Anwender empfohlen, das System für aktive Infektionen und Malware mit einem Anti-Malware-Programm zu scannen. Ein solches Programm dient viele schädliche Aktionen und stoppen Weiterverbreitung von Malware zu verhindern.
SpyHunter Scanner erkennt nur die Bedrohung. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: