Ramnitマルウェア (Virus.Ramnit.Jとも呼ばれます) 最も危険なバンキング型トロイの木馬の1つは、世界中で多数の感染を引き起こすことで知られています。. 新たに発見されたブラックボットネットは、同じ集団によって作成されたものであることが判明しました. 私たちの記事は脅威についての詳細を提供します.
ラムニットハッカーによって作成された黒いボットネット
ブラックボットネットと呼ばれる危険な新しい脅威がセキュリティコミュニティによって報告されました. これは、2か月間アクティブになっている大規模な攻撃キャンペーンで見つかりました—レポートによると 100 000 システム. アナリストは、ボットネットが同じCを使用していることを発見しました&バンキング型トロイの木馬に関連する以前の攻撃で使用されたCサーバー. サーバーを調査したところ、少なくとも3月からサーバーがアクティブになっていることがわかりました。 6 2018. 攻撃の開始時に、ハッカーは少数の感染を使用しました. その主な目標は、Ramnitトロイの木馬のカスタマイズされたバージョンを提供することであるようです。.
興味深い事実は、BlackボットネットがRC4暗号を使用してホストとサーバー間のトラフィックを暗号化することです. それを識別するいくつかの明確な特徴があります:
- 収集されたサンプルの多くは、ハードコードされたドメイン名を使用しています.
- C&Cサーバーは、追加のモジュールをアップロード/ダウンロードできないことが判明しました.
- すべての追加コンポーネントは1つのパッケージにバンドルされています.
- Ramnitバンキング型トロイの木馬は、と呼ばれる別のマルウェアを配信するために使用されます Ngioweb
実際の Ngiowebマルウェア 2つの別々の暗号化レイヤーを備えた独自のバイナリプロトコルを考案したプロキシサーバーとして機能します. プロキシの操作に使用できる主なモードは2つあります. NgiowebサンプルがRamnitトロイの木馬と一緒にパックされているという事実は、セキュリティアナリストに、主な配布方法はボットネット感染または代替のフィッシングメールキャンペーンによるものであるという概念を与えています。.
最初のものは呼ばれます 通常のバックコネクトプロキシ ここで、ステージ1Cへの接続を確立します。&Cサーバーとリモートホスト. これにより、安全な方法でデータを転送できます, 感染したホストが存在するネットワークの内部リソースにアクセスするだけでなく.
2番目のタイプの動作モードはと呼ばれます リレープロキシ そしてそれはより強力であると考えられています. これにより、Blackボットネットオペレーターは基本的に全体を構築できます “チェーン” プロキシの数を増やし、ボットのIPアドレスの背後にサービスを隠します.
Blackボットネットの主な前提は、Ngiowebマルウェアを起動することです. 起動すると、多数のプロセスを開始し、システムにバンドルされたアプリケーションまたはユーザーがインストールしたアプリケーションに自身を注入します. 次のステップは、オペレーターの要求に応じて、任意のコマンドを実行できるようにすることです。. また、ユーザーが使用するメインブラウザにも感染します. として自分自身をインストールするように設定されています 持続的な脅威 スタートアップ設定を操作する, スケジュールされたタスクと関連するWindowsレジストリキーを追加する.
全体として、これは、犯罪集団がバンキング型トロイの木馬を拡散するための新しいツールと方法論を開発し続けていることを示しています。.