Ramnit sự đóng góp trong việc tạo ra màu đen Proxy Botnet

Computer Security News

Trạm kiểm soát an ninh chuyên gia báo cáo rằng họ đã tìm thấy một botnet proxy lớn, theo dõi như là “Đen” botnet, tạo ra bởi các nhà phát triển Ramnit.

Ramnit đã được đăng ký lần đầu tiên vào năm 2010 và nó hiện đang được biết đến như một trong các ngân hàng phổ biến nhất phần mềm độc hại trong gia đình. Trong năm 2011, các nhà phát triển botnet đã cải thiện nó bắt đầu từ mã nguồn bị rò rỉ của thần Zeus và biến phần mềm độc hại vào một ngân hàng Trojan. Năm 2014, botnet “Đen” trở thành botnet lớn thứ tư trên thế giới.

Năm sau, Europol đã thông báo gỡ bỏ cơ sở hạ tầng Ramnit C2. Tuy nhiên, chỉ vài tháng sau đó, chuyên gia bảo mật của IBM đã tìm thấy một phiên bản mới của Ramnit Trojan.

Một trong khi trước đây, các nhà nghiên cứu báo cáo rằng botnet “Đen” đã nhiễm hơn 100.000 thiết bị trong hai tháng, và đây là chỉ là bắt đầu vì một phần mềm độc hại giai đoạn thứ hai được gọi là Ngioweb đã lây lan xung quanh.

Có lẽ, các nhà phát triển của Ramnit đang sử dụng phần mềm độc hại hai để tạo ra một botnet ủy quyền lớn, đa mục đích mà có thể được sử dụng cho một số hoạt động gian lận.

“Chúng tôi phát hiện gần đây Ramnit C & C server (185.44.75.109) mà không có liên quan đến botnet đã phổ biến nhất”demetra“. Theo tên miền đã được giải quyết địa chỉ IP này C & C máy chủ, nó giả vờ để điều khiển robot thậm chí cũ, lần đầu tiên nhìn thấy trở lại trong năm 2015. Chúng tôi đặt tên botnet này “Đen” do RC4 chính giá trị, “đen”, được sử dụng cho mã hóa lưu lượng ở botnet này.” trạm kiểm soát an ninh Hoa Kỳ phân tích .

“Này C & C máy chủ thực sự đã hoạt động từ 06 tháng 3 năm 2018 nhưng không thu hút sự chú ý vì công suất thấp của botnet”đen”tại thời điểm đó. Tuy nhiên, vào tháng bảy tháng năm 2018 chúng tôi phát hiện một chiến dịch mới của Ramnit với khoảng 100.000 máy tính bị nhiễm.”

Các nhà nghiên cứu tuyên bố rằng hoạt động đen, phần mềm độc hại Ramnit phân phối qua thư rác chiến dịch. Mã độc hại hoạt động như là một phần mềm độc hại giai đoạn đầu tiên và nó được sử dụng để cung cấp một phần mềm độc hại giai đoạn thứ hai được gọi là Ngioweb.

Ngioweb đại diện cho một máy chủ proxy đa chức năng sử dụng giao thức nhị phân của riêng mình với hai lớp mã hóa, “ phân tích điểm kiểm tra đọc.

“Hỗ trợ phần mềm độc hại proxy trở lại-kết nối chế độ, tiếp chế độ, IPv4, IPv6 giao thức, TCP và UDP vận tải, với mẫu đầu tiên được thấy trong nửa cuối năm 2017.”

Phần mềm độc hại Ngioweb nào, tận dụng một hai tầng C & C cơ sở hạ tầng, nơi sân khấu-0 C & C máy chủ thông báo phần mềm độc hại về sân khấu-1 C & C máy chủ trong khi kết nối HTTP không được mã hóa được sử dụng cho mục đích này. Hệ phục vụ sân khấu-1 C & C thứ hai được sử dụng cho việc kiểm soát phần mềm độc hại thông qua một kết nối được mã hóa.

Ngioweb có thể hoạt động ở hai chế độ chính – thường xuyên trở lại-kết nối ủy quyền và chế độ proxy Relay. Đang ở chế độ proxy Relay, Ngioweb cho phép người sáng tạo của mình xây dựng dây chuyền proxy và ẩn các dịch vụ của họ phía sau địa chỉ IP của một bot.


Leave a Reply

Your email address will not be published. Required fields are marked *