Threat Database Botnets Ngioweb Botnet

Ngioweb Botnet

Ngioweb Botnet er et proxy botnet med to varianter registreret i naturen - en påvirker Windows og en målrettet mod Linux-baserede systemer. Mens Linux-versionen af truslen låner en betydelig mængde kode fra den anden, har den flere yderligere funktioner. Den største afvigelse er implementeringen af DGA (Domain Generation Algorithm). Hovedmålet med Ngioweb Botnet er at kompromittere de målrettede computere og implantere en Back-Connect Proxy på dem. Botnet-strukturen involverer gruppering af flere bots i ental proxy-puljer, som derefter styres gennem en to-trins Command-and-Control (C&C, C2) proces.

Ngioweb Botnet er udstyret med adskillige anti-analyseteknikker designet til at hæmme enhver reverse engineering af truslen. Nogle af dem involverer brugen af et nichebibliotek kaldet 'musl libc', funktioner, der er gemt i en tabel på forhånd, en konstant tabel brugt af CRC og AES, Stack String Obfuscation, den førnævnte to-trins C2-proces og brugen af dobbelt kryptering til anden-trins C2-kommunikation.

Efter at være blevet implementeret på det kompromitterede system, er Ngioweb Botnets mål at indlede kontakt med trin 2-niveauet i C2-infrastrukturen. For at gøre dette gør det et kommunikationsforsøg hvert 73. sekund til et domænenavn genereret af DGA. Der er angivet en øvre grænse på 300 domænenavne. Hvis den relevante kommando modtages fra første trin C2, går Ngioweb Botnet videre til etablering af kommunikation med den øverste niveau struktur af angriberens servere og oprettelsen af Back-Connect Proxy-funktionen. Trin 2-kommunikationen krypteres gennem en kombination af XOR og AES. I alt 24 IP-adresser blev opdaget som en del af det.

Linux-varianten af Ngioweb Botnet har formået at inficere i alt 2692 IP'er. Ofrene kommer fra hele verden, men næsten halvdelen - 1306 kommer fra USA. Brasilien og Rusland er anden og tredje med 156 og 152 bekræftede BOT-IP'er. Næsten alle de kompromitterede IP'er tilhørte webservere, der har WordPress implementeret.

Trending

Mest sete

Indlæser...