Zuhause > Cyber ​​Aktuelles > Enemybot Botnet nutzt jetzt CMS, Webserver und Android-Fehler
CYBER NEWS

Enemybot Botnet nutzt jetzt CMS, Webserver und Android-Fehler

durch   |  Letztes Update:  |  0 Kommentare  

feindliches Bot-Netz

Ein neuer Distributed-Denial-of-Service Botnet hat sich in der freien Wildbahn erfasst wurde.

Update. Laut einer neuen Studie von AT&T, EnemyBot nimmt jetzt schnell an “Ein-Tages-Schwachstellen als Teil seiner Exploit-Fähigkeiten.” Dienste wie VMware Workspace ONE, Adobe Coldfusion, Wordpress, PHP-Scriptcase, sowie IoT- und Android-Geräte werden in diesen neuen Kampagnen ebenfalls angesprochen. Genauer, Die neueste Variante enthält eine Webscan-Funktion, die enthält 24 Exploits, um Schwachstellen in den oben genannten Geräten und Webservern anzugreifen.

Lernen Sie EnemyBot kennen

Genannt EnemyBot und von FortiGuard Labs-Forschern offengelegt, Das Botnetz hat einen kritischen Einfluss auf bestimmte Geräte, einschließlich Router von Seowon Intech und D-Link, und es nutzt auch eine kürzlich gemeldete iRZ-Router-Schwachstelle aus, um mehr Geräte zu infizieren. Forscher sagen, dass es aus dem Quellcode von Gafgyt abgeleitet wurde, und hat mehrere Module aus dem ursprünglichen Quellcode von Mirai ausgeliehen. EnemyBotnet wurde Keksec zugeschrieben, eine Bedrohungsgruppe, die sich auf Kryptomining und DDoS-Angriffe spezialisiert hat.




Technische Details zu EnemyBot

Wie die meisten Botnets, Dieser infiziert auch mehrere Architekturen, um die Wahrscheinlichkeit zu erhöhen, mehr Geräte zu infizieren. Neben IoT-Geräten, Enemybot zielt auch auf Desktop- und Serverarchitekturen wie BSD ab, einschließlich Darwin (Mac OS), und x64, FortiGuard-Bericht sagte.

Hier ist eine Liste der Architekturen, auf die das Botnet abzielt:

Arm
arm5
arm64
arm7
bsd
darwin
i586
i686
m68k
mips
mpsl
ppc
ppc-440fp
sch4
spc
x64
X86

Verschleierung

EnemyBot verwendet Verschleierung, um Zeichenfolgen auf verschiedene Weise zu verschleiern:

Die C2-Domäne verwendet die XOR-Codierung mit einem Multibyte-Ke
Anmeldeinformationen für SSH-Brute-Forcing- und Bot-Killer-Schlüsselwörter verwenden die Codierung im Mirai-Stil, d, Single-Byte-XOR-Codierung mit 0x22
Befehle werden mit einer Ersatzchiffre verschlüsselt, d.h.,, einen Charakter gegen einen anderen austauschen
Einige Zeichenfolgen werden codiert, indem einfach drei zum numerischen Wert jedes Zeichens hinzugefügt werden

Obwohl diese Techniken einfach sind, Sie sind effizient genug, um alle Anzeichen für das Vorhandensein von Malware vor der Analyse zu verbergen. In der Tat, Die meisten IoT- und DDoS-Botnets sind darauf ausgelegt, solche Indikatoren zu finden, um zu verhindern, dass andere Botnets auf demselben Gerät ausgeführt werden.




Vertrieb

Enemybot nutzt mehrere Verteilungstechniken, auch typisch für andere ähnliche Botnets, B. die Verwendung einer Liste mit fest codierten Kombinationen aus Benutzername und Passwort, um sich bei Geräten anzumelden. Diese Geräte sind normalerweise schwach konfiguriert oder verwenden Standardanmeldeinformationen. Mirai verwendete die gleiche Technik.

Um falsch konfigurierte Android-Geräte mit einem exponierten Android Debud Bridge-Port zu infizieren (5555), Die Malware versucht, Shell-Befehle auszuführen. Das Botnetz nutzt auch Sicherheitslücken, um auf bestimmte Geräte abzuzielen, wie in SEOWON INTECH SLC-130- und SLR-120S-Routern und CVE-2018-10823 in D-Link-Routern.

Früher in diesem Monat, Wir haben über ein weiteres Botnet geschrieben, das von FortiGuard offengelegt wurde, die als eine andere Variante des Mirai galt. Namens Bestienmodus, Das Botnetz nutzte eine Liste spezifischer Schwachstellen in TOTOLINK-Routern aus.

Die kritischen Schwachstellen sind relativ neu, im Zeitraum zwischen Februar und März veröffentlicht 2022. Betroffen ist die Linux-Plattform. Als Ergebnis der Schwachstellen, entfernte Angreifer könnten die Kontrolle über die exponierten Systeme erlangen.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. Mirai Botnet Attacks Aufstieg Nach seinen Quellcode wurde hochgeladen Der berüchtigte IoT(Internet der Dinge) botnet Mirai hat ein...
  2. Aditya Gupta: Notwendigen Werkzeuge, um die Sicherheit von IoT-Geräte zur Verbesserung der Aditya Gupta hat einen beeindruckenden Hintergrund in der Sicherheitsforschung im Internet..
  3. Reaper Botnet Malware – Was ist es und wie IoT-Geräte zu schützen New Botnet malware has been detected by malware researchers to...
  4. IoT bezogene Risiken im Unternehmenssektor (für Firmen) Die Haussicherheitssysteme des Internets der Dinge können alle...
  5. Mirai neue Variante verwendet Port 23, Hafen 2323 und CVE-2016-10401 Eine neue Variante von Mirai kurz vor Weihnachten? Sicher, why...
  6. Neues Mirai Botnet entsteht, Anfällige IoT-Geräte angreifen Neue Sicherheitsberichte deuten auf das Auftauchen neuer Mirai-Botnets hin..
  7. The Hide ‚n Sucht IoT Botnet nutzt P2P auf Zielgeräte Security analysts uncovered a new worldwide malware threat — the...
  8. Mirai Botnet nimmt nach unten über 900K IoT-Geräte in Deutschland Was bisher das größte Botnetz zu sein scheint – ...

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau