Heel de eigenaardige botnet werd ontdekt in het wild door Qihoo onderzoekers. het botnet, nagesynchroniseerde Fbot en op basis van de code van Satori, lijkt te zijn "gewoon gaan na en het verwijderen van een ander botnet com.ufo.miner". Fbot is de weergave van andere vormen van ongewoon gedrag. Het maakt geen gebruik van de traditionele DNS om te communiceren met de command and control-server.
Plaats, het maakt gebruik van blockchain DNS om de niet-stand C2 naam bekend als musl.lib op te lossen, aldus de onderzoekers. Eindelijk, het botnet heeft sterke banden met de oorspronkelijke Satori botnet.
Satori is een botnet dat een fout in Huawei en een bug in Realtek SDK-gebaseerde apparaten uitbuit. Deze kwetsbaarheden zijn benut om aan te vallen en te infecteren computers. Het botnet zelf werd op de top van de verwoestende Mirai ivd botnet geschreven. operators Satori's uitgebuit twee bijzondere kwetsbaarheden om met succes richten op honderden apparaten.
Ook moet worden opgemerkt dat Satori de code werd vrijgegeven aan het publiek in januari van dit jaar. Het botnet exploitanten later bleek de mijnbouw cryptogeld. Dit Satori variant gehackt diverse mijnbouw hosts op het internet via hun beheers- poort 3333 die loopt de Claymore Miner software. De malware dan vervangen de portemonnee adres op de gastheren met een eigen portemonnee adres. De gecompromitteerde apparaten waren meestal met Windows.
Botnets zijn meestal kwaadaardig karakter. Echter, Fbot is heel anders. Zoals gemeld, Fbot is jagen geïnfecteerd door de com.ufo.miner, die een variant van ADB.Miner. ADB.Miner werd omschreven als de eerste worm voor Android dat het aftasten code die bij de beruchte ivd Mirai botnet hergebruikt.
ADB.Miner was ontworpen scannen van verschillende soorten Android toestellen variërend van smartphones en slimme tv's TV set-top boxes. De enige specificatie is dat deze apparaten moet worden met het publiek toegankelijk ADB debug-interface met behulp van de haven 5555 rennen. eenmaal gelegen, de worm infecteert ze met de mijnbouw module van de malware die probeert te Monero cryptogeld delven.
Dat gezegd te hebben, er een overeenkomst in de manier waarop Fbot en ADB worden gedistribueerd, en het gaat om Port TCP 5555. De poort wordt gescand en, in het geval dat het open is, een payload zal scripts die te downloaden uit te voeren en uit te voeren malware. Het verschil is dat Fbot verwijdert de ADB mijnbouw scripts en reinigt het geïnfecteerde systeem.
Een ander bijzonder kenmerk van deze welwillende botnet is het gebruik van niet-traditionele DNS. Meestal, DNS is de standaard voor de commando- en controlestructuur maar deze keer niet.
De keuze van de Fbot het gebruik van andere dan traditionele DNS EmerDNS is behoorlijk interessant, Het verhoogde de lat voor security-onderzoeker te vinden en te volgen van de botnet (Beveiligingssystemen mislukt als ze alleen kijken naar de traditionele DNS-namen), ook maken het moeilijker om het C2-domein sinkhole, althans niet voor een ICANN leden, de onderzoekers toegelicht.
Is er een reden voor Fbot niet-typische botnet gedrag?
Een van de redenen dat kan verklaren waarom het botnet is het schoonmaken van geïnfecteerde hosts is dat Het is gewoon vernietiging van de competitie en de weg vrij voor zijn toekomstige infecties.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: