Threat Database Botnets Pink Botnet

Pink Botnet

The Pink botnet er et af de største botnets, der er observeret af infosec-fællesskabet i de sidste mange år. Ifølge resultaterne af forskerne, Pink Botnet,på sit højeste, havde inficeret og hævdet kontrol over mere end 1,6 millioner enheder. Det skal bemærkes, at målene for botnettet var placeret i Kinanæsten udelukkende, hvor anslået 90 % af de kompromitterede enheder er placeret i landet. Botnettet var i stand til at udnytte sårbarheder i MIPS-baserede fiberroutere.

Struktur

Botnettet er understøttet af en kompleks og robust arkitektur, der gør det muligt for angriberne at udøve fuldstændig kontrol over de brudte enheder. For at sikre distribution og tilgængelighed af de nødvendige konfigurationsdata anvender hackerne flere forskellige teknikker. For det første benyttede de sig af tredjepartstjenester såsom GITHUB og en kinesisk hjemmeside.

Takket være dets hybridarkitektur blev Pink botnets konfigurationsdata også distribueret via P2P (Peer-to-Peer) og C2 (Command-and-Control) servere. En af P2P-metoderne er P2P-Over-UDP123 distribution. Truslens dobbelte karakter gør det muligt for angriberne at stole på P2P til at levere generelle kommandoer, mens C2-ruten er reserveret til at implementere kritiske, tidsfølsomme instruktioner, herunder lancering af DDoS-angreb, indsprøjtning af reklamer på alle HTTP-websteder, der besøges af brugere, etc.

Truende kommandoer

Pink botnet er i stand til at genkende og udføre over 10 indkommende kommandoer fra botmasteren. Afhængigt af angribernes specifikke mål kunne botnettet hente yderligere filer og nyttelast, udføre vilkårlige systemkommandoer, starte DDoS-angreb, udføre scanninger, opdatere sig selv og mere. Hackerne kunne også bruge malwaren til at indsamle specifikke enhedsdetaljer - systemtype, CPU, systemversion, hardwareoplysninger og hukommelsesoplysninger.

Vedholdenhed og kamp med sælger

Pink botnets særlige egenskaber gør det muligt for det at flashe den originale firmware af den brudte fiberrouter og derefter omskrive den med en ny, der inkluderer en C2-downloader og den medfølgende bootloader. Bagefter har de cyberkriminelle fuld kontrol over enheden. Dette gjorde det muligt for dem at bevare deres ulovlige adgang til de inficerede routeremed succes, samtidig med at de forsvarer sig mod flere forskellige tilgange fra enhedens leverandør. I sidste ende måtte leverandøren ty til at sende dedikerede teknikere for at få adgang til de brudte routere og enten adskille fejlfindingssoftwaren eller udskifte enheden helt.

Trending

Mest sete

Indlæser...