Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Обнаружен серверный ботнет, созданный на основе Linux-версии зловреда, объявившегося в Сети около года назад.
Злоумышленники взломали тысячи WordPress-сайтов, создали ботнет и осуществляют проксирование трафика по заказу. Проведенный в Qihoo 360 анализ показал, что в качестве прокси-агента предприимчивые хакеры используют Linux-версию Ngioweb — вредоносной программы, впервые засветившейся на радарах ИБ-экспертов около года назад и до сих пор атаковавшей лишь Windows-машины.
По коду новобранец схож со своим прототипом — с единственным исключением: он использует алгоритм DGA в качестве резервного механизма связи с командным сервером. Но вначале Linux-бот пытается установить соединение, используя два прописанных в коде IP-адреса (южноафриканский и румынский). Список доменов, генерируемых по DGA, включает 300 имен, после их создания зерно сбрасывается.
Исследователям удалось взломать алгоритм, используемый Linux.Ngioweb, и зарегистрировать один из C&C-доменов, чтобы получить представление о работе ботнета. Как оказалось, управление зловредом осуществляется по HTTP, с кодированием параметров по base64. В командную инфраструктуру ботнета также входят узлы, выполняющие обратное подключение к клиентским серверам Socks5 прокси. На этих каналах пакеты шифруются путем выполнения операции XOR и алгоритма AES в режиме ECB.
Совокупно в рамках Linux-ботнета Ngioweb экспертам удалось выявить 24 головных бэкконнект-сервера (во Франции, Ирландии и Германии) и 2692 IP-адресов, ассоциируемых с индивидуальными ботами. Почти все зараженные узлы оказались веб-серверами, на которых установлены программы WordPress. Половина из них расположены в США, по 100-150 заражений обнаружено в Бразилии, России, Германии и Франции.
Анализ взломанных серверов показал, что помимо программы-агента (Linux.Ngioweb) авторы атак загружают на них шелл-скрипты для удаленного администрирования.
Конечная цель ботоводов неизвестна. В Qihoo 360 предположили, что злоумышленники оказывают услуги по проксированию трафика и пока просто фиксируют все, что проходит через новый ботнет.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |