怪异的僵尸网络感染你的电脑去清除密码漏洞挖掘恶意软件
2018-09-18 19:33:41爱云资讯
好人还是警官?一个奇怪的僵尸网络出现在了现场,它并没有为了奴役设备而感染设备,而是实际上在清除密码货币挖掘恶意软件。
周一,奇虎360Netlab的研究人员表示,基于Satori僵尸网络编码的僵尸网络Fbot正在展示这种系统的一些非常奇怪的行为。
Satori是一个基于Mirai的僵尸网络的变体,这个臭名昭著的僵尸网络能够摧毁整个国家的在线服务。
StoRi的代码于一月发布给公众。从那时起,我们看到了针对加密劫持目的的挖掘钻机的变体;配备了用于路由器折衷的利用漏洞的变体,以及专注于部署特洛伊木马有效负载的其他变体。
僵尸网络通常是坏消息。他们奴役易受攻击的设备,如移动设备、物联网(IoT)产品和路由器,然后这些设备被奴役在他们的驱动力中,以驱动从自动垃圾邮件活动到分布式拒绝服务(DDoS)攻击的一切。
参见:IOT黑客构建基于华为的僵尸网络,在一天内奴役18000个设备
然而,Fbot并不是你典型的僵尸网络的特征。
研究人员说,Fbot上周出现在雷达上,看来这个僵尸网络唯一的工作就是追踪被另一个僵尸网络感染的系统,com.ufo.miner,ADB.Miner的一个变体。
矿工最近一直很活跃。僵尸网络以Android设备为目标,包括智能手机、亚马逊消防电视和机顶盒,目的是利用Coinhive挖掘脚本对Monero(XMR)进行密码劫持和秘密挖掘。
Fbot和亚行传播的方式非常相似。端口TCP 5555被扫描,如果打开,有效负载执行下载和执行恶意软件的脚本,以及建立到操作员的命令和控制(C2)服务器的通道。
然而,在Fbot的情况下,有效载荷卸载ADB挖掘脚本并清除系统。
CNET:我们不能阻止僵尸网络攻击,美国政府报告说
在僵尸网络追踪到ADB恶意软件进程,杀死它们,并清除之前感染的任何痕迹之后,僵尸网络删除自身。
虽然FBOT确实有从MiLAI继承的DDoS模块,但研究人员没有从僵尸网络中记录任何DDoS攻击。
僵尸网络是非常有趣的另一个原因-系统不使用传统的C2结构进行通信。通常,DNS是标准,但Fbot选择BROCKBANK DNS协议代替。
技术:我们未能阻止僵尸网络的6个原因
C2域musl.lib是不向ICANN注册的顶级域,因此不能通过传统的DNS解决。相反,僵尸网络使用EMEDN,EngBy.com的分散链链为基础的DNS系统。
“使用除了传统DNS之外的EmerDNS的Fbot的选择非常有趣,它提高了安全研究人员发现和跟踪僵尸网络的门槛(如果他们只寻找传统的DNS名称,安全系统将失败),也使得更难使C2域陷阱,至少不是“ICANN成员可以使用”,研究人员指出。
FBOT是一个非常不寻常的僵尸网络变体。然而,它可能不是一个很好的家伙警官在工作只是寻求清理我们感染的系统。
僵尸网络清洁职责的另一个原因可能是消灭竞争,并在未来用自己的密码窃听脚本或恶意软件感染设备。无论哪种方式,Fbot是一个值得关注的僵尸网络。
- 中兴通讯积极参与中国移动云电脑数智化建设,聚焦AI与算力网络融合发展
- “兴智能 新纪元”中兴通讯精彩亮相2024中国移动算力网络大会
- 中国移动副总经理李慧镝:积极推进算力网络AI注智赋能,推动实现自智网络“三零三自”愿景
- 直击2024中国移动算力网络大会展区:算网“黑科技”精彩亮相!
- 2024中国移动算力网络大会盛大开幕
- 中国移动杨杰董事长:算力网络点亮AI新时代
- 锐捷网络发布极简以太全光3.X方案 以太彩光引领园区全光网创新之路
- 中国移动发布一体化算力网络领航数智产业行动计划
- 一顿烧烤钱升级疾速WIFI7网络,中兴巡天BE5100仅需229起双2.5G版即将开售
- 中移互联网将携带创新产品亮相中国移动算力网络大会
- 华为HiSec SASE解决方案荣获阿联酋网络安全委员会联合ITP Media Group颁发的国际“网络安全创新奖”
- 推动数字化智变发展 锐捷网络保持行业领先
- 2024通信会|迈向智慧配电网建设新时代,锐捷网络发布双平面配电通信解决方案
- 湘江鲲鹏将携兆瀚AI全栈产品亮相2024移动算力网络大会
- Pasternack 推出适用于5G网络的户外全向天线
- 欧冶云商GMV达5亿吨,G7易流助力数字运力网络革新