Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Легитимный прокси-сервис обеспечил злоумышленникам анонимность, а также облегчил создание и ротацию URL.
Исследователи из китайской компании Qihoo 360 обнаружили серверный ботнет, операторы которого пытаются продлить срок жизни C&C с помощью легитимного сервиса ngrok.com. В настоящее время новая зомби-сеть используется для скрытной добычи криптовалюты.
Прокси-сервис ngrok.com позволяет организовать защищенный внешний доступ (на основе туннелей) к локальным серверам, расположенным за NAT или сетевым экраном. По словам репортера ZDNet, эта веб-служба очень популярна в корпоративном сегменте, так как она обеспечивает быстрый и безопасный способ подключения удаленных работников к интранет-сети. Ngrok также используют разработчики-фрилансеры в тех случаях, когда клиент хочет ознакомиться со статусом заказанного приложения.
Чтобы вывести локальный сервер по туннелю на реальный URL, пользователь регистрируется на ngrok.com и скачивает клиентскую программу. Получив публичный URL, он сообщает его лицу, которому нужно предоставить доступ к охраняемым данным.
Имена поддоменов ngrok.io генерируются произвольно и существуют онлайн недолго — около 12 часов, а затем сменяются, поэтому ботоводы и решили воспользоваться услугами ngrok.com. Их конкуренты обычно размещают командные серверы у хостинг-провайдера, где многочисленные жалобы на злоупотребления могут спровоцировать расследование, обнаружение и блокировку.
В остальном новоявленный ботнет вполне обычен. Лежащий в его основе зловред состоит из четырех компонентов: Scanner (ищет в Интернете приложения, пригодные для эксплойта), Reporter (передает результаты сканирования на C&C-сервер), Loader (загружает сканер и майнер) и Miner, отвечающий за добычу криптовалюты.
Сканирование с целью выявления уязвимостей выполняется в два приема: вначале бот проверяет активность портов, а затем выискивает нужные приложения. В настоящее время новый ботнет нацелен на порты 6379, 2375, 80, 8080 и 5984, а также службы redis, docker, jenkins, drupal, modx и couchdb. Анализ выявил еще один инструмент, загружаемый сканером с C&C, но пока не используемый. Он предназначен для поиска локальных клиентов Ethereum — очевидно, с целью кражи эфиров.
Модуль Miner загружает на сервер свой демон и nginx-майнер Monero, предварительно завершая конкурирующие процессы (если таковые имеются). Он также способен внедрять браузерный майнер Coinhive во все js-файлы текущей директории. По словам исследователей, это, скорее всего, ошибка проекта, так как текущая директория — это собственная рабочая папка Miner, в которой нет JavaScript-файлов.
Успехи операторов нового ботнета пока невелики: с июня они намайнили меньше 70 XMR, что эквивалентно 7,8 тыс. долларов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |