Ganz im eigentümlichen Botnet wurde in der Wildnis von Qihoo Forscher entdeckt. Das Botnetz, genannt Fbot und basiert auf dem Code von Satori, scheint zu sein "nur gehen nach und Entfernen andere Botnet com.ufo.miner". Fbot anzeigt andere Formen des ungewöhnlichen Verhaltens. Es verwendet keine traditionellen DNS mit Kommando- und Kontrollserver kommunizieren.
Stattdessen, es nutzt blockchain DNS die Nicht-Stand C2 Namen als musl.lib bekannt zu lösen, sagten die Forscher. Schließlich, die Botnet hat starke Verbindungen zu dem ursprünglichen Satori Botnet.
Satori ist eine Botnetzes, die einen Fehler in Huawei und einen Fehler in Realtek SDK-basierten Geräten nutzen. Diese Schwachstellen wurden zum Angriff genutzt und infizieren Computer. Das Botnetz selbst wurde auf dem verheerenden Botnet Mirai IoT geschrieben. Satori der Betreiber ausgebeutet zwei besondere Anfälligkeiten erfolgreich Hunderte von Geräten Ziel.
Es sollte auch beachtet werden, dass Satori der Code wurde für die Öffentlichkeit freigegeben im Januar dieses Jahres. Der Botnetz-Betreiber sich später Bergbau Kryptowährung. Diese Variante Satori in verschiedenen Bergbau-Hosts im Internet über ihre Management-Port gehackt 3333 das läuft die Claymore Miner Software. Die Malware ersetzt dann die Brieftasche Adresse auf dem Hosts mit einer eigenen Brieftasche Adresse. Die kompromittiert Geräte wurden meist unter Windows.
Botnets ist in der Regel böswilligen Charakter. Jedoch, Fbot ist ganz anders. Wie berichtet, Fbot ist die Jagd auf Systeme von der com.ufo.miner infiziert, die eine Variante von ADB.Miner. ADB.Miner wurde als der erste Wurm für Android beschrieben, die den Scan-Code in dem berüchtigten IoT Mirai Botnet verwendet wiederverwendet.
ADB.Miner wurde entworfen für verschiedene Arten von Android-Geräten zu scannen im Bereich von Smartphones und Smart-TVs auf TV-Set-Top-Boxen. Die einzige Spezifikation ist, dass diese Geräte mit öffentlich zugänglich ADB-Debug-Schnittstelle über Port sein sollten 5555 zu rennen. Sobald sich, der Wurm infiziert sie mit dem Bergbau-Modul der Malware, die Monero Kryptowährung zu verminen sucht.
Having said that, es gibt eine Ähnlichkeit in der Art und Weise, die Fbot und ADB werden verteilt, und es sich um TCP-Port 5555. Der Hafen wird gescannt und, falls es offen, eine Nutzlast-Skripte auszuführen, die Malware herunterladen und ausführen. Der Unterschied besteht darin, dass Fbot den ADB-Mining-Skripte deinstalliert und reinigt das infizierte System.
Eine weitere Besonderheit dieses gütigen Botnet ist die Verwendung von nicht-traditionellen DNS. Meistens, DNS ist der Standard für die Kommando- und Kontrollstruktur aber diesmal nicht.
Die Wahl der Fbot EmerDNS andere als traditionelle Verwendung von DNS ist ziemlich interessant, es erhöht die Messlatte für Sicherheitsforscher, um die Botnet zu finden und verfolgen (Sicherheitssysteme werden scheitern, wenn sie für traditionelle DNS-Namen suchen nur), auch sie machen es schwieriger, die C2-Domäne Sinkhole, zumindest nicht für ein ICANN-Mitglieder, die Forscher erklärt.
Gibt es einen Grund für Fbot des untypischen Botnet Verhalten?
Ein Grund, der erklären kann, warum die Botnet-infizierten Hosts ist die Reinigung ist, dass es auszulöschen einfach den Wettbewerb und den Weg für seine zukünftigen Infektionen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: