Τρίτη, 26 Μαΐου, 02:38
Αρχική security Dark_nexus: Το νέο ισχυρό botnet που ξεχωρίζει από τα άλλα malware

Dark_nexus: Το νέο ισχυρό botnet που ξεχωρίζει από τα άλλα malware

Ένα νέο botnet έχει έρθει στο προσκήνιο, το οποίο φαίνεται να είναι ακόμα πιο απειλητικό από τα Mirai και Qbot. Ερευνητές ασφαλείας της Bitdefender αποκάλυψαν ότι το νέο botnet, που ονομάζεται Dark_nexus, διακρίνεται από ορισμένα χαρακτηριστικά και ιδιότητες που το κάνουν να ξεχωρίζει από τα άλλα σύγχρονα malware botnets.


Τί είναι όμως τα botnets;
O όρος “botnet” προέρχεται από τις λέξεις robot και network. Ως botnets νοούνται δίκτυα υπολογιστών, IoT (Internet of Things) προϊόντα και κινητές συσκευές που έχουν μολυνθεί από χάκερς με malware. Τα botnets μπορούν να χρησιμοποιηθούν για DDoS επιθέσεις, διανομή spam emails, εξάπλωση ιών, κλοπή δεδομένων και άλλες κακόβουλες ενέργειες.

Το Dark_nexus, το οποίο ονομάστηκε έτσι λόγω των συμβολοσειρών στο banner του, έχει κάποια κοινά στοιχεία με το Mirai και το Qbot, ωστόσο οι περισσότερες λειτουργίες του είναι πρωτότυπες. Για παράδειγμα, ο τρόπος με τον οποίο αναπτύχθηκαν μερικά από τα modules του, το καθιστά πολύ πιο ισχυρό, σύμφωνα με την Bitdefender. Το Dark_nexus είναι ένα botnet που έδρασε για τρεις μήνες, ενώ αυτή την περίοδο έχουν κυκλοφορήσει τρεις παραλλαγές του. Επιπλέον, honeypots έχουν αποκαλύψει ότι υπάρχουν τουλάχιστον 1.372 bots συνδεδεμένα στο botnet, τα περισσότερα εκ των οποίων βρίσκονται στην Κίνα, τη Δημοκρατία της Κορέας, την Ταϋλάνδη και τη Βραζιλία. Για να παραβιάσει μία συσκευή, το botnet χρησιμοποιεί στοιχεία που συνδέονται με credentials και εκμεταλλεύεται τυχόν σφάλματα. Χρησιμοποιούνται επίσης δύο modules, ένα σύγχρονο και ένα ασύγχρονο, με στόχο να χρησιμοποιήσουν το πρωτόκολλο Telnet και προκαθορισμένες λίστες credentials για να αποκτήσουν πρόσβαση στην στοχοποιημένη συσκευή. Επιπλέον, το malware επιχειρεί να αποκρύψει τις ενέργειές του μετονομαζόμενο σε / bin / busybox. Το botnet διαθέτει ένα payload που μπορεί να προσαρμοστεί σε 12 διαφορετικές αρχιτεκτονικές CPU και μεταβιβάζεται ανάλογα με τις ρυθμίσεις που έχει κάνει το θύμα στην συσκευή. Επίσης, συνδέεται με δύο servers εντολών και ελέγχου (C2) και με έναν report server, ο οποίος λαμβάνει αναφορές σχετικά με ευάλωτες υπηρεσίες που περιέχουν και αριθμούς IP και θυρών.

Οι επιθέσεις που πραγματοποιήθηκαν από το συγκεκριμένο botnet είναι σε γενικές γραμμές κοινότυπες, με μία εξαίρεση – την εντολή browser_http_req. Η Bitdefender επισημαίνει ότι αυτό το στοιχείο είναι “εξαιρετικά περίπλοκο και διαμορφώσιμο” και “προσπαθεί να συγκαλύψει την κίνηση, παρουσιάζοντάς την ως μία αβλαβή κίνηση που θα μπορούσε να έχει δημιουργηθεί από ένα πρόγραμμα περιήγησης”. Ένα άλλο ενδιαφέρον χαρακτηριστικό είναι η προσπάθεια να αποτραπεί η επανεκκίνηση μιας συσκευής. Η υπηρεσία cron παραβιάζεται και διακόπτεται, ενώ δεν μπορούν να εκτελεστούν οι κατάλληλες λειτουργίες για την επανεκκίνηση μιας συσκευής. Αξίζει να σημειωθεί ότι ο προγραμματιστής του botnet εικάζεται ότι είναι Έλληνας. Τέλος, οι ερευνητές βρήκαν socks5 proxies σε ορισμένες παραλλαγές του malware, ένα χαρακτηριστικό που εντοπίστηκε και σε botnets όπως οι παραλλαγές των Mirai, TheMoon και Gwmndy, ενώ συνεχίζουν να παρακολουθούν με ενδιαφέρον την εξέλιξη του botnet.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....