Pengendali Ramnit menyumbang dalam mewujudkan Botnet proksi hitam

Computer Security News

Pakar Keselamatan Checkpoint melaporkan bahawa mereka mendapati botnet proksi secara besar-besaran, dikesan sebagai botnet “Hitam”, dicipta oleh pemaju Ramnit.

Ramnit pertama didaftarkan pada tahun 2010 dan ia kini dikenali sebagai salah satu daripada keluarga perisian berniat jahat perbankan paling popular. Pada tahun 2011, pihak pemaju botnet bertambah baik ia bermula dari kod sumber Zeus bocor dan menjadikan perisian berniat jahat dengan Trojan perbankan. Pada 2014, botnet “Hitam” yang menjadi botnet keempat terbesar di dunia.

Pada tahun berikutnya, Europol mengumumkan takedown infrastruktur Ramnit C2. Walau bagaimanapun, hanya beberapa bulan kemudian, pakar Keselamatan IBM mendapati versi baru Ramnit Trojan.

Beberapa ketika yang lalu, penyelidik melaporkan bahawa botnet “Hitam” yang telah dijangkiti lebih daripada 100,000 peranti dalam dua bulan, dan ini adalah hanya permulaan kerana malware peringkat kedua yang dipanggil Ngioweb kini sudah melebarkan sekitar.

Mungkin, pemaju Ramnit menggunakan perisian berniat jahat yang dua untuk mencipta satu botnet proksi besar, serbaguna yang boleh digunakan untuk beberapa aktiviti penipuan.

“Tempahan kami temui Ramnit C & C pelayan (185.44.75.109) yang tidak berkaitan dengan botnet yang sebelum ini paling lazim”demetra“. Mengikut nama domain yang diselesaikan kepada alamat IP ini C & C pelayan, ia berpura-pura untuk mengawal bot walaupun lama, mula-mula dilihat kembali pada tahun 2015. Kami dinamakan botnet ini “Hitam” kerana RC4 utama nilai, “hitam”, yang digunakan untuk enkripsi trafik dalam botnet ini.” Titik Semak Keselamatan Negeri analisis .

“Ini C & C pelayan sebenarnya telah aktif sejak 6 Mac 2018 tetapi tidak menarik perhatian kerana kapasiti rendah botnet”hitam”yang pada masa itu. Walau bagaimanapun, pada bulan Mei-Julai 2018 kami mengesan kempen Ramnit baru dengan kira-kira 100,000 komputer dijangkiti.”

Penyelidik mendakwa bahawa dalam operasi hitam, Ramnit malware diedarkan melalui kempen spam. Kod berniat jahat bekerja sebagai malware pertama-peringkat dan ia digunakan untuk menghasilkan sebuah perisian yang berniat jahat peringkat kedua yang dipanggil Ngioweb.

Ngioweb mewakili pelayan proksi pelbagai fungsi yang menggunakan protokol perduaan sendiri dengan dua lapisan penyulitan, “ membaca analisis titik semak.

“Menyokong malware proksi belakang-sambungkan mod, penyampai mod, IPv4, IPv6 protokol, pengangkutan TCP dan UDP, dengan sampel yang pertama dilihat dalam separuh kedua tahun 2017.”

Apa itu malware Ngioweb tidak, memanfaatkan C dua-peringkat & C infrastruktur, di mana peringkat-0 C & C pelayan memberitahu malware yang mengenai peringkat-1 C & C pelayan semasa sambungan tidak dienkripsi HTTP yang digunakan untuk tujuan ini. Pelayan kedua peringkat-1 C & C digunakan untuk mengawal malware melalui sambungan dienkripsi.

Ngioweb boleh beroperasi dalam dua mod utama – biasa belakang-sambungkan proksi, dan mod proksi penyampai. Sedang dalam mod proksi penyampai, Ngioweb membolehkan pencipta yang membina rantai proksi dan menyembunyikan perkhidmatan mereka di sebalik alamat IP bot.


Leave a Reply

Your email address will not be published. Required fields are marked *