SOS :: Security Operation Space
19 марта, вторник, 00:00
|
Hot News:

Прокси-бот Ngioweb портирован на Linux

24 июня 2019 г., понедельник, 16:53

Обнаружен серверный ботнет, созданный на основе Linux-версии зловреда, объявившегося в Сети около года назад.

Злоумышленники взломали тысячи WordPress-сайтов,  создали ботнет и осуществляют проксирование трафика по заказу. Проведенный в Qihoo 360 анализ показал, что в качестве прокси-агента предприимчивые хакеры используют Linux-версию Ngioweb — вредоносной программы, впервые засветившейся на радарах ИБ-экспертов около года назад и до сих пор атаковавшей лишь Windows-машины.

По коду новобранец схож со своим прототипом — с единственным исключением: он использует алгоритм DGA в качестве резервного механизма связи с командным сервером. Но вначале Linux-бот пытается установить соединение, используя два прописанных в коде IP-адреса (южноафриканский и румынский). Список доменов, генерируемых по DGA, включает 300 имен, после их создания зерно сбрасывается.

Исследователям удалось взломать алгоритм, используемый Linux.Ngioweb, и зарегистрировать один из C&C-доменов, чтобы получить представление о работе ботнета. Как оказалось, управление зловредом осуществляется по HTTP, с кодированием параметров по base64. В командную инфраструктуру ботнета также входят узлы, выполняющие обратное подключение к клиентским серверам Socks5 прокси. На этих каналах пакеты шифруются путем выполнения операции XOR и алгоритма AES в режиме ECB.

Совокупно в рамках Linux-ботнета Ngioweb экспертам удалось выявить 24 головных бэкконнект-сервера (во Франции, Ирландии и Германии) и 2692 IP-адресов, ассоциируемых с индивидуальными ботами. Почти все зараженные узлы оказались веб-серверами, на которых установлены программы WordPress. Половина из них расположены в США, по 100-150 заражений обнаружено в Бразилии, России, Германии и Франции.

Анализ взломанных серверов показал, что помимо программы-агента (Linux.Ngioweb) авторы атак загружают на них шелл-скрипты для удаленного администрирования.

Конечная цель ботоводов неизвестна. В Qihoo 360 предположили, что злоумышленники оказывают услуги по проксированию трафика и пока просто фиксируют все, что проходит через новый ботнет.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.203
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.