Computer Security Изследователите разделят хибриден ботнет на Enemybot,...

Изследователите разделят хибриден ботнет на Enemybot, излагайки реални опасности

Екип от изследователи с фирмата за сигурност FortiGuard публикува скорошна публикация в блог, в която подробно описва нов злонамерен софтуер за ботнет. Ботнетът е фокусиран основно върху предоставянето на разпределени атаки за отказ на услуга и се нарича Enemybot .

Enemybot е смесица от Mirai и Gafgyt

Според FortiGuard, Enemybot е нещо като мутант, заимстващ код и модули както от прословутия ботнет Mirai , така и от Bashlite или Gafgyt ботнет , с повече заимствани от последния. Фактът, че и двете семейства на ботнет имат достъпен изходен код онлайн, улеснява новите участници в заплахата да вземат факела, да смесват и съчетават и произвеждат своя собствена версия, подобно на Enemybot.

Новият злонамерен софтуер на Enemybot е свързан със заплахата Keksec – субект, известен главно с това, че извършва предишни разпределени атаки за отказ на услуга (DDoS) . Новият зловреден софтуер е забелязан от FortiGuard при атаки, насочени към хардуера на рутера от корейския производител Seowon Intech, както и по-популярните рутери D-Link. Лошо конфигурираните устройства с Android също са податливи на атака от зловреден софтуер.

Истинските опасности от Enemybot са разкрити. За да компрометира целевите устройства, Enemybot прибягва до широк спектър от известни експлойти и уязвимости, включително най-горещата от миналата година - Log4j.

Enemybot е насочен към широк спектър от устройства

Зловредният софтуер разгръща файл в директорията /tmp с разширението .pwned. Файлът .pwned съдържа просто текстово съобщение, подиграващо се на жертвата и съобщаващо кои са авторите, в случая - Keksec.

Ботнетът Enemybot е насочен към почти всяка архитектура на чип, за която можете да се сетите, от различни версии на ръка, до стандартни x64 и x86, до bsd и spc.

След като бъде разгърнат, полезният товар на ботнета изтегля двоични файлове от сървъра C2 и двоичните файлове се използват за изпълнение на DDoS команди. Зловредният софтуер също има ниво на обфускация, включително сървърът C2 да използва домейн .onion.

FortiGuard вярва, че върху зловредния софтуер все още се работи активно и се подобрява, вероятно от повече от една група участници в заплахата, поради промени, открити в различни версии на съобщението на файла .pwned.

Зареждане...