怪异的僵尸网络感染你的电脑去清除密码漏洞挖掘恶意软件
2018-09-18 19:33:41爱云资讯1265
好人还是警官?一个奇怪的僵尸网络出现在了现场,它并没有为了奴役设备而感染设备,而是实际上在清除密码货币挖掘恶意软件。
周一,奇虎360Netlab的研究人员表示,基于Satori僵尸网络编码的僵尸网络Fbot正在展示这种系统的一些非常奇怪的行为。
Satori是一个基于Mirai的僵尸网络的变体,这个臭名昭著的僵尸网络能够摧毁整个国家的在线服务。
StoRi的代码于一月发布给公众。从那时起,我们看到了针对加密劫持目的的挖掘钻机的变体;配备了用于路由器折衷的利用漏洞的变体,以及专注于部署特洛伊木马有效负载的其他变体。
僵尸网络通常是坏消息。他们奴役易受攻击的设备,如移动设备、物联网(IoT)产品和路由器,然后这些设备被奴役在他们的驱动力中,以驱动从自动垃圾邮件活动到分布式拒绝服务(DDoS)攻击的一切。
参见:IOT黑客构建基于华为的僵尸网络,在一天内奴役18000个设备
然而,Fbot并不是你典型的僵尸网络的特征。
研究人员说,Fbot上周出现在雷达上,看来这个僵尸网络唯一的工作就是追踪被另一个僵尸网络感染的系统,com.ufo.miner,ADB.Miner的一个变体。
矿工最近一直很活跃。僵尸网络以Android设备为目标,包括智能手机、亚马逊消防电视和机顶盒,目的是利用Coinhive挖掘脚本对Monero(XMR)进行密码劫持和秘密挖掘。
Fbot和亚行传播的方式非常相似。端口TCP 5555被扫描,如果打开,有效负载执行下载和执行恶意软件的脚本,以及建立到操作员的命令和控制(C2)服务器的通道。
然而,在Fbot的情况下,有效载荷卸载ADB挖掘脚本并清除系统。
CNET:我们不能阻止僵尸网络攻击,美国政府报告说
在僵尸网络追踪到ADB恶意软件进程,杀死它们,并清除之前感染的任何痕迹之后,僵尸网络删除自身。
虽然FBOT确实有从MiLAI继承的DDoS模块,但研究人员没有从僵尸网络中记录任何DDoS攻击。
僵尸网络是非常有趣的另一个原因-系统不使用传统的C2结构进行通信。通常,DNS是标准,但Fbot选择BROCKBANK DNS协议代替。
技术:我们未能阻止僵尸网络的6个原因
C2域musl.lib是不向ICANN注册的顶级域,因此不能通过传统的DNS解决。相反,僵尸网络使用EMEDN,EngBy.com的分散链链为基础的DNS系统。
“使用除了传统DNS之外的EmerDNS的Fbot的选择非常有趣,它提高了安全研究人员发现和跟踪僵尸网络的门槛(如果他们只寻找传统的DNS名称,安全系统将失败),也使得更难使C2域陷阱,至少不是“ICANN成员可以使用”,研究人员指出。
FBOT是一个非常不寻常的僵尸网络变体。然而,它可能不是一个很好的家伙警官在工作只是寻求清理我们感染的系统。
僵尸网络清洁职责的另一个原因可能是消灭竞争,并在未来用自己的密码窃听脚本或恶意软件感染设备。无论哪种方式,Fbot是一个值得关注的僵尸网络。
相关文章
- 第九届未来网络发展大会开幕 三大重磅科技成果发布
- 北京联通以5G-A智慧网络助全球首届人形机器人运动会盛大召开
- 陇剑再出鞘 金盾固网安 第三届“陇剑杯”网络安全大赛重磅揭幕
- Dell PowerProtect全面升级,助力企业强化网络韧性与恢复能力
- 卧兔网络主办的当红不让2025 WotoHub卖家大会顺利落幕
- 第十届“创客中国”网络安全中小企业创新创业大赛决赛即将启幕,邀您共赴网络安全创新盛宴!
- 元脉高性能AI网络 激发算力潜能
- 冰丝带开赛在即!中国联通智慧网络构筑冰丝带无界竞技场
- 从厦门到中东!海辰储能用 ESG 实践编织全球零碳网络
- 强强联手!连连国际携手Waffo,扩展全球本地支付网络布局
- 第九届未来网络发展大会即将开幕 将发布网络通信领域三大重磅科技成果
- 2025 CGDC开幕,游族网络汪军生出席分享AI赋能游戏全球化研运成果
- 锐捷网络:Wi-Fi 7加速演进,2025年进入快速爬坡期
- 苏州绿色动脉:九识智能如何用无人车编织低碳物流网络
- 无线智能板如何让5G-A网络能效智绿?
- 曙光网络亮相WAIC2025,重磅推出两款国产边缘智控一体机