Computer-Sicherheitsexperten berichteten über die Entdeckung einer neuen Malware-Bedrohung der Jenx Botnet genannt, die Taktik höchst ungewöhnliche Verteilung verwendet. Anstatt sich auf Standard-E-Mail-Nachrichten zu verlassen, missbraucht es eines der beliebtesten Videospiele - Grand Theft Auto sowie IoT-Geräte.
JenX Botnet Discovery und Infiltration Tactics
Die Sicherheitsgemeinschaft hat eine neue weltweite Botnet-Infektion gemeldet. Die neue Bedrohung heißt JenX-Botnetz und verfügt über einen äußerst ungewöhnlichen Infiltrationsmechanismus. Laut der Code-Analyse werden mehrere Schwachstellen ausgenutzt, die bestimmte beliebte Routermodelle von betreffen Huawei und Realtek. Sie gehören zu den größten Herstellern von Netzwerkgeräten, und solche Modelle werden normalerweise von Internetdienstanbietern gekauft (ISPs) und an Kunden ausgegeben. Dies bedeutet, dass möglicherweise Tausende oder sogar Millionen von Computern den automatisierten Penetrationstests zum Opfer fallen können. Die beiden Sicherheitsanfälligkeiten werden in den folgenden Sicherheitshinweisen nachverfolgt:
- CVE-2014-8361 - Mit dem miniigd SOAP-Dienst im Realtek SDK können Angreifer über eine gestaltete NewInternalClient-Anforderung beliebigen Code ausführen.
- CVE-2017-17215 - Sicherheitsanfälligkeit in Huawei HG532 CVE-2017-17215 für Remotecodeausführung.
Es ist interessant festzustellen, dass beide Schwächen aus dem Satori Botnet. Die Schnipsel wurden in öffentlichen Posts identifiziert, die von dem unter dem Pseudonym bekannten Hacker erstellt wurden “Janit0r” Wer ist der Autor von BrickerBot. Laut der Forschung ist das Botnetz speziell gegen Spieleanbieter konzipiert, Vereine und Spieler.
Der Malware-Code infiltriert Server, die Spiele einschalten und infolgedessen auch die Client-Computer infizieren. Die Verbindung zum Grand Theft Auto-Spiel beruht auf der Tatsache, dass kompromittierte Server, auf denen das JenX-Botnetz gehostet wird, das Spiel hosten. Solche Taktiken sind besonders effektiv gegen Ziele, da Spieleserver für ihre Leistung und Netzwerkkonnektivität bekannt sind.
Dies ist ein Folge-Upgrade von Basis-Botnetzen wie Mirai. Ihre Intrusion-Strategie bestand darin, sich auf Standardanmeldeinformationen zu stützen, deren Zugriff geprüft wird. Sobald die Malware das Zielgerät kompromittiert hat, kann sie die Kontoanmeldeinformationen ändern und den Besitzern den Zugriff verweigern. Botnets der zweiten Generation wie Satori hängen von Firmware-Schwachstellen ab und sind daher gegenüber potenziellen Zielen viel effektiver. Die meisten IoT-Geräte erhalten weder aufgrund mangelnder Softwareunterstützung noch aufgrund von Nachlässigkeit des Eigentümers kritische Sicherheitsupdates. Exploits können mithilfe automatisierter Plattformen leicht ausgelöst werden, was es selbst Anfängern erleichtert, sie in ihren Angriffsschemata zu verwenden.
Die Verbindung zwischen JenX Botnet und Gaming Servern
Einer der vorgeschlagenen Gründe, warum die Malware auf Spieleserver abzielt, ist die Tatsache, dass sie häufig für ganze Gruppen gemietet oder in Turnieren verwendet werden. Sobald der Malware-Code den Server selbst infiziert hat, kann er verwendet werden, um Viren über die Videospiele selbst auf die verbundenen Clients zu übertragen. Normalerweise integrieren sie Chat-Optionen in sich, die missbraucht werden können.
Mithilfe von Social-Engineering-Taktiken können die Kriminellen zusätzliche Malware über in der Chat-Software veröffentlichte Links bereitstellen. Sie können als Servicemeldungen wie Links zum Zurücksetzen von Passwörtern getarnt werden, Benachrichtigungen und usw..
In anderen Fällen können die Opfer auf Malware-Websites umgeleitet werden, die Phishing-Elemente enthalten. Anstatt ausführbare Dateien zu liefern, versuchen die Kriminellen, die Benutzer zu verwirren, ihre Kontoanmeldeinformationen für Betrüger-Websites einzugeben. Die Kriminellen übernehmen normalerweise die Grafik- und Textelemente von Webdiensten und sozialen Netzwerken, die zu den am häufigsten besuchten Websites gehören. In den letzten Jahren sind diese Arten von Betrug so weit fortgeschritten, dass es manchmal schwierig ist, die Fälschung vom legitimen Dienst zu unterscheiden. Die Kriminellen erzwingen nicht nur fast die gleiche visuelle Identität, Unterschreiben Sie aber auch die Sicherheitszertifikate und stellen Sie eine sichere Verbindung mit Anmeldeinformationen her, die den tatsächlichen tatsächlichen auffallend ähnlich sind.
JenX Botnet-Infektionsfunktionen
Die Forscher stellen fest, dass das Botnetz besonders gefährlich ist, da es ein fortgeschrittenes integriert Stealth-Schutzmodul Ziel ist es, die Bedrohung vor Sicherheitssoftware und -analysen zu verbergen. Solche Techniken werden auch in erweiterten Ransomware-Beispielen gebündelt, in denen die Infektions-Engine nach Sandbox- oder Debugging-Umgebungen Ausschau hält, virtuelle Maschinen und Anti-Virus-Produkte. Sie können entweder deaktiviert oder entfernt werden. Die Viren können auch angewiesen werden, sich selbst zu löschen, wenn sie den Sicherheitsschutz nicht umgehen können. Solche Schritte können auch über Skriptbefehle in das JenX-Botnetz integriert werden. Es wurde festgestellt, dass die Hacker Kopien des mit MIPS kompatiblen JenX verteilen, ARM und X86 sind die beliebtesten Plattformen.
Die Hacker-Betreiber versuchen, sowohl kommerzielle als auch private Server stillschweigend zu infiltrieren. Es ist interessant festzustellen, dass die Unterstützung des breiten Publikums ein wichtiger Faktor zu sein scheint. Die kriminelle Gemeinschaft hinter den Angriffen scheint einen zentralen Server zu verwenden, der als primäre Malware-Plattform fungiert. Die Experten laden die Sicherheitsanfälligkeiten zusammen mit anderen benutzerdefinierten Skripten, um die Folgephasen von Infektionen auszuführen.
Die infiltrierten Websites bieten Zugriff auf einen modifizierten Grand Theft Auto San Andreas-Server zum Preis von $16, TeamSpeak-Server werden für verkauft $9. Wenn die Hacker bezahlen $20 Darüber hinaus können sie die gefährdeten Server für kontrollierte DDOS-Angriffe gegen einzelne Ziele verwenden. Die Berichte zeigen, dass das Spitzennetzwerk gründlich sein kann 290 oder 300 Gbps. Derzeit sind die Auswirkungen des JenX-Botnetzes auf eine geringfügige Störung bei lokalen Spielern zurückzuführen. Es kann verwendet werden, um Grand Theft Auto-Turniere und Gruppenspiele zu sabotieren.
Die Experten stellen fest, dass die gesamte Plattform ausfallen kann, wenn die zentralisierten Server heruntergefahren werden können. Es wird davon ausgegangen, dass die Bedrohung in zukünftigen Versionen aktualisiert werden kann, um einen dezentralen Ansatz zu verwenden. Es wurde festgestellt, dass neuere Infektionen einen P2P-Ansatz aufweisen, der schwerer zu mildern ist.
Wir empfehlen allen Benutzern, ihre Systeme auf aktive Infektionen zu scannen und sich mit einer hochwertigen Anti-Spyware-Lösung vor eingehenden Bedrohungen zu schützen.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: