Tutkijat valitsevat Enemybotin hybridibottiverkon, joka paljastaa todellisia vaaroja
Tietoturvayhtiö FortiGuardin tutkijaryhmä julkaisi äskettäin blogikirjoituksen, jossa kerrotaan uudesta botnet-haittaohjelmasta. Bottiverkko keskittyy ensisijaisesti hajautettujen palvelunestohyökkäysten toimittamiseen, ja se on nimeltään Enemybot .
Enemybot on sekoitus Miraita ja Gafgytia
FortiGuardin mukaan Enemybot on eräänlainen mutantti, joka lainaa koodia ja moduuleja sekä pahamaineisesta Mirai-bottiverkosta että Bashlite- tai Gafgyt -botnetistä, ja enemmän lainattu jälkimmäisestä. Se, että molemmilla botnet-perheillä on lähdekoodi saatavilla verkossa, tekee uusien uhkatoimijoiden helpoksi poimia taskulamppua, sekoittaa ja yhdistää ja tuottaa oman versionsa, aivan kuten Enemybotissa.
Uusi Enemybot-haittaohjelma liittyy Keksec-uhkatekijään – kokonaisuuteen, joka tunnetaan pääasiassa aiempien hajautettujen palvelunestohyökkäyksien (DDoS) poistamisesta . FortiGuard on havainnut uuden haittaohjelman hyökkäyksissä, jotka kohdistuvat korealaisen valmistajan Seowon Intechin reititinlaitteistoon sekä suosituimpiin D-Link-reitittimiin. Huonosti konfiguroidut Android-laitteet ovat myös alttiita haittaohjelmien hyökkäyksille.
Enemybotin todelliset vaarat on paljastettu. Kohdistettujen laitteiden vaarantamiseksi Enemybot turvautuu laajaan valikoimaan tunnettuja hyväksikäyttöjä ja haavoittuvuuksia, mukaan lukien viime vuoden kuumin - Log4j.
Enemybot kohdistuu monenlaisiin laitteisiin
Haittaohjelma ottaa käyttöön /tmp-hakemistossa olevan tiedoston, jonka tunniste on .pwned. .pwned-tiedosto sisältää yksinkertaisen tekstiviestin, joka pilkkaa uhria ja kertoo, ketkä ovat kirjoittajia, tässä tapauksessa - Keksec.
Enemybot-botnet kohdistaa lähes kaikkiin mieleesi siruarkkitehtuureihin, käsivarren eri versioista standardiin x64 ja x86, bsd ja spc.
Kun robottiverkon hyötykuorma on otettu käyttöön, se lataa binaarit C2-palvelimelta, ja binaareja käytetään DDoS-komentojen suorittamiseen. Haittaohjelmassa on myös hämärtymistaso, mukaan lukien se, että sen C2-palvelin käyttää .onion-verkkotunnusta.
FortiGuard uskoo, että haittaohjelmaa työstetään ja parannetaan edelleen aktiivisesti, mahdollisesti useamman kuin yhden uhkatoimijaryhmän toimesta .pwned-tiedoston eri versioissa havaittujen muutosten vuoksi.