Threat Database Botnets Ngioweb Botnet

Ngioweb Botnet

O Ngioweb Botnet é um botnet proxy com duas variantes detectadas à solta - uma afetando o Windows e outra visando sistemas baseados em Linux. Embora a versão Linux da ameaça tome emprestado uma quantidade considerável de código da outra, ela possui várias funcionalidades adicionais. O principal desvio é a implementação do DGA (Domain Generation Algorithm). O principal objetivo do Botnet Ngioweb é comprometer os computadores visados e implantar um proxy de conexão traseira neles. A estrutura do botnet envolve o agrupamento de vários Bots em pools de proxy singulares que são controlados por meio de um processo de comando e controle de duas camadas (C&C, C2).

O Botnet Ngioweb é equipado com várias técnicas anti-análise projetadas para impedir qualquer engenharia reversa da ameaça. Alguns deles envolvem o uso de uma biblioteca de nicho chamada 'musl libc', funções sendo armazenadas em uma tabela com antecedência, uma tabela constante usada por CRC e AES, Stack String Ofuscation, o processo C2 de dois estágios acima mencionado e o uso de criptografia dupla para a comunicação C2 de segundo estágio.

Depois de ser implantado no sistema comprometido, o objetivo do Ngioweb Botnet é iniciar o contato com o nível do Estágio 1 da infraestrutura C2. Para isso, faz uma tentativa de comunicação a cada 73 segundos com um nome de domínio gerado pela DGA. Um limite máximo de 300 nomes de domínio é definido. Se o comando apropriado for recebido do C2 de primeiro estágio, o Ngioweb Botnet passa a estabelecer comunicação com a estrutura de nível superior dos servidores do invasor e a criação da função Back-Connect Proxy. A comunicação do estágio 2 é criptografada por meio de uma combinação de XOR e AES. Um total de 24 endereços IP foram descobertos como parte dele.

A variante Linux do Botnet Ngioweb conseguiu infectar um total de 2.692 IPs. As vítimas vêm de todo o mundo, mas quase metade - 1.306 são dos Estados Unidos. Brasil e Rússia estão em segundo e terceiro lugar, com 156 e 152 BOT IPs confirmados. Quase todos os IPs comprometidos pertenciam a servidores Web com WordPress implantado.

Tendendo

Mais visto

Carregando...