Licenze multi-dispositivo (sconti per quantità)

Cambia regione

English Dansk Deutsch Español Français Italiano Nederlands Português Русский
Threat Database Botnets Botnet ZHtrap

Botnet ZHtrap

Entro GoldSparrow nel Botnets
Traduci in:
Italiano

Sebbene il codice sorgente della famigerata botnet Mirai sia stato divulgato al pubblico nel lontano 2016, i criminali informatici stanno ancora utilizzando bit e pezzi o traggono ispirazione da esso. Un esempio di quest'ultimo è la botnet ZHtrap scoperta dai ricercatori di 360 Netlab.

Il malware può assumere un'ampia gamma di dispositivi e assimilarli nella struttura della botnet. Lo scopo principale della botnet sembra essere quello di eseguire attacchi DDoS (Distributed Denial of Service), ma un canale backdoor creato sui dispositivi compromessi consente anche all'attore della minaccia di eliminare ulteriori payload di malware. L'infrastruttura Command-and-Control per la campagna utilizza un server ospitato sulla rete TOR e un proxy TOR che maschera il traffico di comunicazione anormale generato dalla botnet.

Per la sua distribuzione, ZHtrap sfrutta quattro vulnerabilità note che gli consentono di infettare router, DVR e dispositivi di rete UPnP. Più specificamente, ZHtrap segue Netgear DGN1000, MVPower DVR, Realtek SDK Miniigd UPnP SOAP endpoint e numerosi dispositivi CCTV-DVR. Verranno attaccati anche i dispositivi con password Telnet deboli.

La minaccia malware garantirà che sia l'unico payload dannoso in esecuzione sul dispositivo specifico tramite una whitelist che include solo i processi già avviati sul dispositivo. Tutti i tentativi di eseguire comandi aggiuntivi verranno bloccati.

Tuttavia, l'aspetto che distingue maggiormente ZHtrap dalla maggior parte delle altre botnet è la sua capacità di trasformare i dispositivi compromessi in honeypot. Il termine honeypot viene utilizzato nel campo della sicurezza informatica per indirizzare uno strumento che funge da esca per attacchi di malware raccogliendo scansioni, campioni di codice e potenziali exploit. ZHtrap utilizza una tecnica simile ma inverte il suo scopo. Indica ai dispositivi catturati di iniziare ad ascoltare un elenco di 23 porte. Tutti gli indirizzi IP che tentano di connettersi tramite queste porte verranno inviati tramite il modulo di scansione del malware come nuovi potenziali bersagli.

Tendenza

I più visti

Caricamento in corso...