Pink Botnet
The Pink botnet är ett av de största botnät som observerats av infosec-communityt under de senaste åren. Enligt resultaten av forskarna, Pink Botnet,vid sin topp hade infekterat och hävdat kontroll över mer än 1,6 miljoner enheter. Det bör noteras att målen för botnätet var belägna i Kinanästan uteslutande, med uppskattningsvis 90 % av de komprometterade enheterna som finns i landet. Botnätet kunde utnyttja sårbarheter i MIPS-baserade fiberroutrar.
Innehållsförteckning
Strukturera
Botnätet stöds av en komplex och robust arkitektur som gör att angriparna kan utöva fullständig kontroll över de brutna enheterna. För att säkerställa distribution och tillgänglighet av nödvändiga konfigurationsdata använder hackarna flera olika tekniker. Först utnyttjade de tredjepartstjänster som GITHUB och en kinesisk webbplats.
Tack vare sin hybridarkitektur distribuerades Pink botnets konfigurationsdata också via P2P (Peer-to-Peer) och C2 (Command-and-Control)-servrar. En av P2P-metoderna är P2P-Over-UDP123-distribution. Hotets dubbla natur gör att angriparna kan förlita sig på P2P för att leverera allmänna kommandon, medan C2-vägen är reserverad för att distribuera kritiska, tidskänsliga instruktioner inklusive lansering av DDoS-attacker, injicera annonser på alla HTTP-webbplatser som besöks av användare, etc.
Hotande kommandon
Pink botnätet kan känna igen och köra över 10 inkommande kommandon från botmastern. Beroende på angriparnas specifika mål kan botnätet hämta ytterligare filer och nyttolaster, utföra godtyckliga systemkommandon, starta DDoS-attacker, utföra skanningar, uppdatera sig själv och mer. Hackarna kan också använda skadlig programvara för att samla in specifika enhetsdetaljer - systemtyp, CPU, systemversion, hårdvaruinformation och minnesinformation.
Uthållighet och slåss med säljaren
Pink botnätets speciella möjligheter gör att den kan flasha den ursprungliga firmwaren för den trasiga fiberroutern och sedan skriva om den med en ny som inkluderar en C2-nedladdare och den medföljande bootloader. Efteråt har cyberbrottslingarna full kontroll över enheten. Detta gjorde det möjligt för dem att behålla sin illegala tillgång till de infekterade routrarnaframgångsrikt, samtidigt som man försvarar sig mot flera olika tillvägagångssätt från enhetens leverantör. Till slut var leverantören tvungen att skicka dedikerade tekniker för att komma åt de trasiga routrarna och antingen plocka isär felsökningsmjukvaran eller byta ut enheten helt.
