果樹園は新しいの名前です ボットネット ビットコインの作成者サトシ・ナカモトの口座取引情報を利用して DGA を生成 [ドメイン生成アルゴリズム] ドメイン名. これは、ボットネットのコマンド アンド コントロール インフラストラクチャを隠すために行われます。.
「ビットコイン取引の不確実性のため, この手法は、一般的な時間生成 DGA を使用するよりも予測不可能です。, したがって、防御するのがより困難になります," 言った 360 最近のブログ投稿における Netlab の研究者. 研究者は、Orchard と呼ばれるボットネットのファミリーでこの手法を発見しました。. 2月以降 2021, ボットネットは 3 つのバージョンをリリースしました, その間でプログラミング言語を切り替えました.
Orchard ボットネットが DGA を使用する理由?
DGA 手法を使用する目的は単純です。 – 侵害されたマシンに他のさまざまなマルウェアをインストールする. ボットネットには、ハードコーディングされたドメインと DGA を含む冗長なコマンド アンド コントロール メカニズムが装備されています。, 各バージョンでは、一意の DuckDNS 動的ドメイン名を C としてハードコーディングします&C.
Orchard ボットネットは、デバイスとユーザーの情報をアップロードし、USB デバイスに感染してさらに拡散することもできます。. ここのところ, 少なくとも 3,000 マシンが感染した, そのほとんどが中国. このマルウェアは、過去 1 年間に複数の重要なアップデートを受けています。, Golang 言語から C++ に切り替えて、3 番目のバリアントを作成しました。. 最新バージョンには、XMRig マイニング プログラムを起動して Monero を作成する機能が含まれています (XMR) 被害者のコンピュータ リソースを利用する.
感染規模で言えば, 研究チームは、v1 と v2 には数千のノードがあると評価しました, v3は登場が遅いため少ない. 3つのバージョンの機能は同じです, 含む:
- デバイスとユーザー情報のアップロード;
- コマンドに応答し、モジュールの次の段階を実行するためのダウンロード;
- USBストレージデバイスへの感染.
“執筆時点, v3 の DGA 入力として、ビットコイン アカウントのトランザクション情報がこのように使用されていることに、他の研究者が最近気づいたことがわかりました。. 彼らの分析結果は私たちのものと一致した, しかし、彼らはオーチャードが実際に長い間存在していたことに気づきませんでした,” レポート 了解しました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: