 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
20 апреля, суббота, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Злоумышленники используют вредонос для создания нового прокси-ботнета Black.
Изучая активность зловреда Ramnit, аналитики компании Check Point обнаружили новый крупный прокси-ботнет. Зомби-сеть получила имя Black — по значению ключа, который злоумышленники использовали для шифрования трафика. С мая по июль 2018 года вредонос заразил свыше 100 тыс. систем по всему миру. По мнению специалистов, преступники готовятся к крупной операции.
Зловред Ramnit впервые попал в поле зрения специалистов в 2010 году. В 2011-м создатели усовершенствовали его при помощи просочившегося в Сеть исходного кода трояна Zeus, превратив из обычного червя в опасный банкер. Вредонос распространялся через спам и ссылки на сомнительные ресурсы и давал своим операторам доступ к финансовым и регистрационным данным жертвы, ее профессиональным резюме, аккаунтам в социальных сетях и многому другому. В 2014 году Ramnit стал четвертым по величине ботнетом в мире.
По данным на начало 2015 года, троян заразил более 3,2 млн устройств. После этого Европолу совместно с экспертами Microsoft, AnubisNetworks и Symantec удалось отключить семь его C&C-серверов, положив конец распространению Ramnit. Однако уже через несколько месяцев зловред вернулся.
Новая кампания, обнаруженная специалистами Check Point, перешла в активную фазу 9 мая. Командный сервер ботнета (185.44.75.109) действовал еще с 6 марта, но первое время не привлекал к себе внимания из-за низких объемов трафика. В поле зрения экспертов он попал, когда за два месяца заразил более 139 тыс. компьютеров. Судя по доменным именам, C&C-сервер контролирует даже старые боты, созданные в 2015 году.
У новой зомби-сети есть несколько особенностей. Командный сервер не загружает обычные дополнительные модули (VNC, парольные воры, FtpGrabber), все необходимое (FTP-сервер и веб-инъекции) поставляется в том же пакете, что и сам Ramnit. Злоумышленники не пользуются алгоритмами DGA, прибегая к жестко закодированным именам доменов.
Кроме того, на этот раз Ramnit является всего лишь первым этапом атаки. С его помощью владельцы ботнета устанавливают на зараженные устройства программу прокси-зловред Ngioweb.
«Ngioweb представляет собой многофункциональный прокси-сервер, который использует свой собственный двоичный протокол с двумя уровнями шифрования, — пояснили аналитики. — Он поддерживает режим обратного подключения (BackConnect), режим ретрансляции (relay), протоколы IPv4 и IPv6, передачу данных по TCP и UDP».
В качестве BackConnect-прокси Ngioweb может подключиться к удаленному хосту в обход фаервола или NAT и предоставить злоумышленнику доступ к внутренним ресурсам локальной сети. Функция ретрансляции позволяет создавать цепочки прокси и скрывать свои сервисы за IP-адресами ботов. Отследить источник трафика при этом становится практически невозможно.
Большой многоцелевой прокси-ботнет злоумышленники смогут использовать практически для любых целей — майнинга криптовалюты, установки программ‑вымогателей или другого вредоносного ПО, DDoS-атак или поиска информации и обмена ей.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
