Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Создатели ботнета разместили центр управления в доменной зоне, неподконтрольной ICANN.
Специалисты из компании Qihoo 360 отловили необычный бот. Он проникает на устройства, уже зараженные криптомайнером ADB.Miner, удаляет приложение и связанные с ним процессы. Оператор ботнета скрывает командный сервер в домене, поддерживаемом альтернативной системой DNS. Цели атаки пока не ясны.
Бот, получивший название Fbot, сканирует адресное пространство в поиске устройств, использующих отладочный интерфейс Android Debug Bridge (ADB) с открытым портом 5555, после чего проникает на них. Среди его целей — смартфоны, игровые приставки, умные телевизоры и другие устройства Интернета вещей.
Атака состоит из двух этапов. Сначала Fbot ищет и удаляет с зараженного устройства программу com.ufo.miner — один из вариантов зловреда ADB.Miner, нацеленного на генерацию Monero. Попутно из памяти выгружаются все процессы, связанные с добычей криптовалюты. Далее бот внедряет в систему свою полезную нагрузку, содержащую инструкции для связи с командным сервером.
Оператор Fbot разместил центр управления в распределенном DNS-пространстве, которое работает на технологии блокчейна. Домен командного сервера находится в зоне .lib, которая не зарегистрирована в ICANN и не обнаруживается через традиционную систему адресации в Интернете. Такой ресурс не контролируется обычными регистраторами доменных имен, не может быть досрочно снят с делегирования по жалобе государственных органов или решению суда и не выявляется большинством систем безопасности.
Код приложения основан на одном из вариантов движка Mirai, в котором сохранен, но не используется оригинальный DDoS-компонент. Исследователи затрудняются назвать истинные цели атаки. Возможно, это деятельность этичных хакеров по борьбе с вредоносными криптомайнерами..Однако не исключено, что нападающие просто расчищают пространство для следующей стадии кампании.
ADB.Miner, с которым борется Fbot, также использует наработки Mirai. Червь появился на радарах ИБ-специалистов в феврале этого года и за короткий срок заразил несколько тысяч устройств. Зловред нацелен на IoT-оборудование, расположенное в Китае и Южной Корее, — под удар попали преимущественно Smart TV, телевизионные приставки и небольшое количество смартфонов на Android.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |