SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Fbot удаляет криптомайнеры и прячет командный сервер

19 сентября 2018 г., среда, 13:21

Создатели ботнета разместили центр управления в доменной зоне, неподконтрольной ICANN.

Специалисты из  компании Qihoo 360 отловили необычный бот. Он проникает на устройства, уже зараженные криптомайнером ADB.Miner, удаляет приложение и связанные с ним процессы. Оператор ботнета скрывает командный сервер в домене, поддерживаемом альтернативной системой DNS. Цели атаки пока не ясны.

Бот, получивший название Fbot, сканирует адресное пространство в поиске устройств, использующих отладочный интерфейс  Android Debug Bridge (ADB) с открытым портом 5555, после чего проникает на них. Среди его целей — смартфоны, игровые приставки, умные телевизоры и другие устройства Интернета вещей.

Атака состоит из двух этапов. Сначала Fbot ищет и удаляет с зараженного устройства программу com.ufo.miner — один из вариантов зловреда ADB.Miner, нацеленного на генерацию Monero. Попутно из памяти выгружаются все процессы, связанные с добычей криптовалюты. Далее бот внедряет в систему свою полезную нагрузку, содержащую инструкции для связи с командным сервером.

Оператор Fbot разместил центр управления в распределенном DNS-пространстве, которое работает на технологии блокчейна. Домен командного сервера находится в зоне .lib, которая не зарегистрирована в ICANN и не обнаруживается через традиционную систему адресации в Интернете. Такой ресурс не контролируется обычными регистраторами доменных имен, не может быть досрочно снят с делегирования по жалобе государственных органов или решению суда и не выявляется большинством систем безопасности.

Код приложения основан на одном из вариантов движка Mirai, в котором сохранен, но не используется оригинальный DDoS-компонент. Исследователи затрудняются назвать истинные цели атаки. Возможно, это деятельность этичных хакеров по борьбе с вредоносными криптомайнерами..Однако не исключено, что нападающие просто расчищают пространство для следующей стадии кампании.

ADB.Miner, с которым борется Fbot, также использует наработки Mirai. Червь появился на радарах ИБ-специалистов в феврале этого года и за короткий срок заразил несколько тысяч устройств. Зловред нацелен на IoT-оборудование, расположенное в Китае и Южной Корее, — под удар попали преимущественно Smart TV, телевизионные приставки и небольшое количество смартфонов на Android.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.077
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.