By | August 9, 2018

מומחי אבטחה מחסום דיווחו כי הם מצאו botnet proxy מסיבית, מעקב אחר כמו botnet “שחור”, שנוצרו על ידי מפתחי Ramnit.

Ramnit נרשמה לראשונה בשנת 2010, הוא כיום ידוע בתור אחת המשפחות תוכנות זדוניות בנקאות הפופולרי ביותר. בשנת 2011, היזמים botnet משופרים זה החל מקוד המקור דלף זאוס, להפוך את התוכנה הזדונית בנקאות סוס טרויאני. בשנת 2014, הפך botnet “שחור” botnet הרביעית בגודלה בעולם.

בשנה הבאה, היורופול הודיעה למעצר של התשתית Ramnit C2. אולם, חודשים ספורים לאחר מכן, מומחי אבטחה IBM נמצא גרסה חדשה של הסוס הטרויאני Ramnit.

לפני כמה זמן, החוקרים דיווחו כי יותר מ-100 אלף מכשירים נגוע בווירוס botnet “שחור” בעוד חודשיים, זה רק ההתחלה כי תוכנה זדונית השלב השני שנקרא Ngioweb כבר מתפשט סביב.

ככל הנראה, המפתחים של Ramnit משתמש התוכנה הזדונית שני כדי ליצור של botnet proxy גדול, רב תכליתי אשר יכול לשמש עבור מספר פעילויות הונאה.

המקסימים “לאחרונה גילינו Ramnit C & C שרת (185.44.75.109) אשר אינו קשור botnet בעבר הנפוצות ביותר”“. על פי שמות תחומים אשר נפתרות לכתובת ה-IP של C & C זה שרת, היא מתיימרת לשלוט הרובוטים אפילו זקן, נראה לראשונה בשנת 2015. קראנו זה botnet “שחור” בשל RC4 ערך המפתח, “שחור”, המשמש עבור הצפנת התעבורה של botnet הזה.” הברית ניתוח האבטחה במחסום.

“הזה C & C שרת למעשה פועלת מאז ה-6 במרץ 2018 אבל לא למשוך תשומת לב בגלל הקיבולת הנמוכה של botnet”שחור”באותו הזמן. עם זאת, בחודש מאי-יולי 2018 שהבחנו. קמפיין חדש Ramnit עם 100,000 מחשבים נגועים.”

החוקרים טוענים כי במבצע שחור, התוכנה הזדונית Ramnit מופץ באמצעות קמפיינים דואר זבל. קוד זדוני עובד כמו תוכנה זדונית השלב הראשון, הוא משמש כדי לספק תוכנה זדונית השלב השני שנקרא Ngioweb.

Ngioweb מייצג שרת proxy רב תכליתי אשר משתמש בפרוטוקול בינארי משלו עם שתי שכבות של הצפנה, “ קורא את הניתוח במחסום.

“ה-proxy תוכנות זדוניות הגב-חבר מצב, ממסר מצב, IPv4, IPv6 פרוטוקולים, הובלות TCP ו- UDP, עם דגימות הראשון ראיתי במחצית השנייה של 2017.”

מה התוכנה הזדונית Ngioweb עושה, היא מינוף של שני שלבים C & C תשתית, איפה הבמה-0 C & C שרת מודיע התוכנה הזדונית אודות השרת שלב-1 C & C בזמן החיבור HTTP לא מוצפן משמש למטרה זו. השרת שלב-1 C & C השני משמש לשליטה תוכנה זדונית באמצעות חיבור מוצפן.

Ngioweb יכול לפעול בשני מצבים עיקריים – הרגילים בחזרה-להתחבר proxy, את מצב ה-proxy של ממסר. להיות במצב ה-proxy של ממסר, Ngioweb מאפשר יוצריה לבנות שרשראות של שליחים, להסתיר את השירותים שלהם מאחורי כתובת ה-IP של בוט.

Leave a Reply

Your email address will not be published. Required fields are marked *