Botnet Ngioweb

Ngioweb Botnet è una botnet proxy con due varianti rilevate in natura: una che interessa Windows e una che interessa i sistemi basati su Linux. Sebbene la versione Linux della minaccia prenda in prestito una notevole quantità di codice dall'altra, ha diverse funzionalità aggiuntive. La principale deviazione è l'implementazione di DGA (Domain Generation Algorithm). L'obiettivo principale della botnet Ngioweb è compromettere i computer presi di mira e impiantarvi un proxy Back-Connect. La struttura della botnet prevede il raggruppamento di più bot in singoli Proxy Pool che vengono poi controllati tramite un processo Command-and-Control (C&C, C2) a due livelli.

La botnet Ngioweb è dotata di diverse tecniche anti-analisi progettate per ostacolare qualsiasi reverse engineering della minaccia. Alcuni di essi comportano l'uso di una libreria di nicchia chiamata "musl libc", le funzioni vengono memorizzate in una tabella in anticipo, una tabella costante utilizzata da CRC e AES, Stack String Obfuscation, il suddetto processo C2 a due fasi e l'uso di doppia crittografia per la comunicazione C2 di secondo stadio.

Dopo essere stato implementato sul sistema compromesso, l'obiettivo di Ngioweb Botnet è avviare il contatto con il livello Stage-1 dell'infrastruttura C2. Per fare ciò, effettua un tentativo di comunicazione ogni 73 secondi con un nome di dominio generato dalla DGA. È impostato un limite massimo di 300 nomi di dominio. Se il comando appropriato viene ricevuto dal C2 di primo stadio, la Botnet Ngioweb passa a stabilire la comunicazione con la struttura di livello superiore dei server dell'aggressore e alla creazione della funzione Back-Connect Proxy. La comunicazione dello stadio 2 è crittografata tramite una combinazione di XOR e AES. È stato scoperto che ne fanno parte un totale di 24 indirizzi IP.

La variante Linux della Botnet Ngioweb è riuscita a infettare un totale di 2692 IP. Le vittime provengono da tutto il mondo, ma quasi la metà - 1306 provengono dagli Stati Uniti. Il Brasile e la Russia sono secondi e terzi con 156 e 152 IP BOT confermati. Quasi tutti gli IP compromessi appartenevano a server Web su cui è stato distribuito WordPress.