Casa > Cyber ​​Notizie > Fbot Botnet insegue e pulisce i sistemi infetti da com.ufo.miner
CYBER NEWS

Fbot Botnet Chase di Down e pulisce sistemi infetti con com.ufo.miner

Piuttosto il botnet particolare è stato rilevato in natura da parte dei ricercatori Qihoo. la botnet, soprannominata Fbot e in base al codice di Satori, sembra essere "basta andare dopo l'altro e la rimozione com.ufo.miner botnet". Fbot visualizza altre forme di comportamento insolito. Non usa DNS tradizionali per comunicare con il server di comando e controllo.




Invece, utilizza DNS blockchain per risolvere il nome C2 non supporto conosciuto come musl.lib, i ricercatori hanno detto. Infine, la botnet ha forti legami con la botnet originale Satori.

Satori è una botnet che sfrutta una falla in Huawei e un bug nei dispositivi Realtek SDK-based. Queste vulnerabilità sono state sfruttate per attaccare e infettare i computer. La botnet in sé è stato scritto in cima al devastante botnet Mirai IoT. gli operatori di Satori sfruttate due vulnerabilità particolari di indirizzare con successo centinaia di dispositivi.

Va inoltre notato che il codice di Satori è stato rilasciato al pubblico nel gennaio di quest'anno. Gli operatori botnet in seguito si rivolse a criptovaluta mineraria. Questa variante Satori inciso nel vari host minerarie su internet attraverso la loro porta di gestione 3333 che esegue il software Claymore Miner. Il malware poi sostituito l'indirizzo portafoglio sugli host con il proprio indirizzo portafoglio. I dispositivi compromessi erano per lo più in esecuzione di Windows.

Le botnet sono solitamente dannoso in carattere. Tuttavia, Fbot è molto diversa. come riportato, Fbot sta inseguendo giù i sistemi infettati dal com.ufo.miner, che è una variante di ADB.Miner. ADB.Miner stato descritto come il primo verme per Android che riutilizzato il codice di scansione utilizzata nella famigerata botnet IoT Mirai.

ADB.Miner è stato progettato per eseguire la scansione di vari tipi di dispositivi Android che vanno da smartphone e televisori intelligenti per TV set-top box. L'unica specifica è che questi dispositivi devono essere accessibili al pubblico con ADB interfaccia di debug utilizzando la porta 5555 correre. Una volta che si trova, il worm li infetta con il modulo mineraria del malware che cerca di minare Monero criptovaluta.

Avendolo detto, c'è una somiglianza nel modo in cui Fbot e ADB vengono distribuiti, e si tratta di porta TCP 5555. La porta viene digitalizzato e, nel caso sia aperta, un carico utile eseguirà gli script che scaricare ed eseguire il malware. La differenza è che Fbot disinstalla gli script ADB minerarie e pulisce il sistema infetto.

Un'altra caratteristica peculiare di questa botnet benevolo è l'uso di DNS non tradizionali. Nella maggior parte dei casi, DNS è lo standard per la struttura di comando e controllo, ma non questa volta.

La scelta di utilizzare Fbot EmerDNS diversi DNS tradizionale è piuttosto interessante, ha sollevato la barra per ricercatore di sicurezza di trovare e tenere traccia del botnet (Sistemi di sicurezza verranno a mancare se si guardano solo per i nomi DNS tradizionali), inoltre rendere più difficile Sinkhole dominio C2, almeno non applicabile per un membri ICANN, i ricercatori ha spiegato.


C'è una ragione per il comportamento botnet non tipico di Fbot?

Uno dei motivi che possono spiegare perché la botnet è la pulizia host infetti è che è semplicemente cancellando la competizione e spianare la strada per le sue future infezioni.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo