Tout le botnet particulière a été détectée dans la nature par des chercheurs Qihoo. le botnet, surnommé Fbot et basé sur le code de Satori, semble être "juste aller après et enlever un autre botnet com.ufo.miner". Fbot affiche d'autres formes de comportement inhabituel. Il n'utilise pas DNS traditionnel pour communiquer avec son commandement et de contrôle du serveur.
Plutôt, il utilise le DNS blockchain pour résoudre le nom de C2 non-support connu sous le nom musl.lib, les chercheurs. Enfin, le botnet a des liens étroits avec le botnet Satori d'origine.
Satori est un botnet qui exploite une faille dans Huawei et un bogue dans les appareils basés sur SDK Realtek. Ces vulnérabilités ont été exploitées pour attaquer et infecter les ordinateurs. Le botnet lui-même a été écrit sur le dessus du botnet dévastateur Mirai IdO. Les opérateurs de Satori exploiter deux vulnérabilités particulières pour cibler avec succès des centaines de dispositifs.
Il convient également de noter que Le code de Satori a été libéré au public en Janvier de cette année. Les opérateurs de réseaux de zombies tourné plus tard à l'exploitation minière crypto-monnaie. Cette variante Satori piraté divers hôtes miniers sur Internet via leur port de gestion 3333 qui exécute le logiciel Miner Claymore. Le logiciel malveillant ensuite remplacé l'adresse de portefeuille sur les hôtes avec sa propre adresse de portefeuille. Les appareils ont été la plupart du temps en cours d'exécution compromis de Windows.
Les botnets sont généralement malveillants caractère. Cependant, Fbot est tout à fait différent. Comme signalé, Fbot est pourchassant les systèmes infectés par le com.ufo.miner, qui est une variante de ADB.Miner. ADB.Miner a été décrit comme la première vis sans fin pour les applications qui réutilisé le code de balayage utilisé dans le réseau de robots fameux IdO Mirai.
ADB.Miner a été conçu pour rechercher les différents types d'appareils Android allant de smartphones et les téléviseurs intelligents pour les décodeurs TV. La seule spécification est que ces appareils doivent être avec une interface de débogage BAD accessible au public en utilisant le port 5555 courir. Une fois localisé, le ver les contamine avec le module d'exploitation du logiciel malveillant qui cherche à exploiter Monero crypto-monnaie.
Cela dit, il y a une similitude dans la façon dont Fbot et la BAD sont distribués, et il implique le port TCP 5555. Le port est numérisé et, dans le cas où il est ouvert, une charge utile d'exécuter des scripts qui télécharger et exécuter des programmes malveillants. La différence est que Fbot désinstalle les scripts d'exploitation de la BAD et nettoie le système infecté.
Une autre caractéristique particulière de ce botnet bienveillant est l'utilisation de DNS non traditionnels. Dans la plupart des cas, DNS est la norme pour la structure de commandement et de contrôle, mais pas cette fois-ci.
Le choix de Fbot utilisant EmerDNS autres que DNS traditionnel est assez intéressant, elle a soulevé la barre pour le chercheur en sécurité pour trouver et suivre le botnet (Les systèmes de sécurité échoueront si elles ne regardent que pour les noms DNS traditionnels), également rendre plus difficile à doline le domaine C2, au moins pas applicable pour un des membres de l'ICANN, les chercheurs expliqué.
Y at-il une raison pour le comportement de botnet non typique Fbot?
L'une des raisons qui peut expliquer pourquoi le botnet est le nettoyage des hôtes infectés est que il est tout simplement oblitérer la concurrence et la voie à ses futures infections.