Ngioweb Botnet
Het Ngioweb-botnet is een proxy-botnet met twee varianten die in het wild worden gedetecteerd: een voor Windows en een voor Linux-systemen. Hoewel de Linux-versie van de dreiging een aanzienlijke hoeveelheid code van de andere leent, heeft deze verschillende aanvullende functionaliteiten. De belangrijkste afwijking is de implementatie van DGA (Domain Generation Algorithm). Het belangrijkste doel van het Ngioweb Botnet is om de beoogde computers in gevaar te brengen en er een Back-Connect Proxy op te implanteren. De botnetstructuur omvat het groeperen van meerdere bots in enkelvoudige proxypools die vervolgens worden bestuurd via een tweeledig Command-and-Control-proces (C&C, C2).
Het Ngioweb Botnet is uitgerust met verschillende anti-analysetechnieken die zijn ontworpen om reverse-engineering van de dreiging te belemmeren. Sommigen van hen omvatten het gebruik van een nichebibliotheek genaamd 'musl libc', functies die van tevoren in een tabel worden opgeslagen, een constante tabel die wordt gebruikt door CRC en AES, Stack String Obfuscation, het bovengenoemde tweestaps C2-proces en het gebruik van dubbele versleuteling voor de C2-communicatie van de tweede fase.
Na te zijn geïmplementeerd op het gecompromitteerde systeem, is het doel van Ngioweb Botnet om contact te leggen met het Stage-1-niveau van de C2-infrastructuur. Om dit te doen, probeert het elke 73 seconden een communicatiepoging naar een domeinnaam die door de DGA is gegenereerd. Er is een bovengrens van 300 domeinnamen ingesteld. Als het juiste commando wordt ontvangen van de eerste fase C2, gaat het Ngioweb Botnet verder met het tot stand brengen van communicatie met de bovenliggende structuur van de servers van de aanvaller en het creëren van de Back-Connect Proxy-functie. De stage-2-communicatie is gecodeerd via een combinatie van XOR en AES. In totaal zijn 24 IP-adressen ontdekt die er deel van uitmaken.
De Linux-variant van het Ngioweb Botnet heeft in totaal 2692 IP's kunnen infecteren. De slachtoffers komen van over de hele wereld, maar bijna de helft - 1306 komt uit de VS. Brazilië en Rusland zijn tweede en derde met 156 en 152 bevestigde BOT IP's. Bijna alle gecompromitteerde IP's waren van webservers waarop WordPress is geïmplementeerd.
