Muy por el botnet peculiar se detectó en la naturaleza por los investigadores Qihoo. la red de bots, apodado Fbot y basado en el código de Satori, parece ser "sólo va después de la eliminación y otra com.ufo.miner botnet". Fbot está mostrando otras formas de comportamiento inusual. No utiliza DNS tradicional para comunicarse con su servidor de comando y control.
En lugar, se utiliza DNS blockchain para resolver el nombre C2 no soporte conocido como musl.lib, los investigadores dijeron. Finalmente, la botnet tiene fuertes vínculos con la red de bots originales Satori.
Satori es una red de bots que explota una falla en Huawei y un error en dispositivos basados en SDK Realtek. Estas vulnerabilidades han sido explotados para atacar e infectar ordenadores. La red de bots en sí fue escrito en la parte superior de la devastadora botnet Mirai IO. operadores de Satori explotaron dos vulnerabilidades particulares para dirigirse con éxito a cientos de dispositivos.
También hay que señalar que El código del satori fue lanzado al público en enero de este año. Los operadores de botnets más tarde se volvieron a criptomoneda minera. Esta variante Satori cortado en varios huéspedes mineras en el Internet a través de su puerto de administración 3333 que ejecuta el software Claymore Miner. El malware sustituye entonces la dirección de la cartera en los hosts con su propia dirección cartera. Los dispositivos comprometidos eran en su mayoría utilizan Windows.
Las redes de bots son por lo general de carácter malicioso. Sin embargo, Fbot es bastante diferente. como se informó, Fbot está persiguiendo a los sistemas infectados por el com.ufo.miner, que es una variante de ADB.Miner. ADB.Miner fue descrito como el primer gusano para Android que volver a utilizar el código de exploración utilizado en el infame botnet IO Mirai.
ADB.Miner fue diseñado para escanear de varios tipos de dispositivos Android que van desde teléfonos inteligentes y televisores inteligentes de decodificadores de TV. La única especificación es que estos dispositivos deben ser accesibles al público con interfaz de depuración mediante el puerto ADB 5555 correr. Una vez localizado, el gusano los infecta con el módulo de la minería del malware que busca explotar Monero criptomoneda.
Una vez dicho esto, hay una similitud en la forma en que Fbot y el ADB están siendo distribuidos, e implica puerto TCP 5555. El puerto se escanea y se, en caso de que esté abierto, una carga útil ejecutará scripts que descargar y ejecutar software malicioso. La diferencia es que Fbot desinstala los guiones mineras ADB y limpia el sistema infectado.
Otra característica peculiar de esta botnet benévola es el uso de DNS no tradicional. En la mayoría de los casos, DNS es el estándar para la estructura de mando y control, pero no en este momento.
La elección de Fbot usando EmerDNS distintos de DNS tradicional es bastante interesante, que elevó el listón para el investigador de seguridad de encontrar y realizar un seguimiento de la red de bots (Los sistemas de seguridad se producirá un error si sólo se buscan nombres DNS tradicionales), También se hacen más difíciles de deslizamiento de tierra el dominio C2, al menos no se aplica a un miembros de la ICANN, los investigadores explicado.
¿Hay alguna razón para el comportamiento botnet no típica de Fbot?
Una de las razones que pueden explicar por qué la red de bots es la limpieza de los huéspedes infectados es que es simplemente borrando la competición y despejar el camino para sus futuras infecciones.