Ramnit operatorów przyczyniają się w tworzenie botnetów Proxy czarny

Computer Security News

Eksperci bezpieczeństwa Checkpoint poinformował, że ogromne proxy botnet, śledzone jako “Czarny” botnet, tworzone przez deweloperów Ramnit.

Ramnit został zarejestrowany po raz pierwszy w 2010 r. i jest obecnie znany jako jeden z najbardziej popularnych rodzin złośliwego oprogramowania bankowości. W 2011 deweloperzy botnet poprawiła się Zaczynając od przeciekły kod źródłowy Zeus i przekształcając malware trojanami bankowymi. W 2014 roku “Czarny” botnet stał się botnet czwartym co do wielkości na świecie.

Następnego roku, Europol ogłosił takedown infrastruktury Ramnit C2. Jednak kilka miesięcy później, ekspertów w dziedzinie bezpieczeństwa IBM znaleziono nową wersję Trojan Ramnit.

Jakiś czas temu, naukowcy poinformował, że “Czarny” botnet zainfekował ponad 100 000 urządzeń w ciągu dwóch miesięcy, i to jest dopiero początek, bo drugi etap malware o nazwie Ngioweb jest już rozprzestrzenia się wokół.

Najbardziej chyba deweloperzy Ramnit są za pomocą dwóch malware stworzyć botnet duże, wielofunkcyjny serwer proxy, które mogłyby być użyte do wielu oszustw.

“Niedawno odkryliśmy, Ramnit C & C serwera (185.44.75.109), które nie jest związane z wcześniej najbardziej rozpowszechnionych botnet”demetra“. Według nazwy domeny, które są rozpoznawane na adres IP tego C & C serwera, udaje, że kontrolować nawet stare boty, po raz pierwszy widział w 2015. Nazwaliśmy to botnet “Czarny” ze względu na RC4 wartość klucza, “czarny”, który jest używany do szyfrowania ruchu w tym botnet.” punkt kontrolny Państwa analizy zabezpieczeń.

“Ten C & C serwer faktycznie prowadzi działalność od 6 marca 2018 ale nie przyciągają uwagę z powodu niska wydajność”czarny”botnet w tym czasie. Jednak w maju – lipcu 2018 Wykryto nową kampanię Ramnit z około 100 000 komputerów zainfekowanych.”

Naukowcy twierdzą, że w działaniu czarny, Ramnit malware jest rozpowszechniany za pośrednictwem kampanii spam. Złośliwy kod działa jako pierwszego etapu przed złośliwym oprogramowaniem i jest używany do dostarczania drugiego etapu malware o nazwie Ngioweb.

” Ngioweb reprezentuje serwer proxy wielofunkcyjny, który używa protokołu binarnego z dwóch warstw szyfrowania, “ odczytuje analizy punktu kontrolnego.

“Obsługuje złośliwe oprogramowanie proxy wstecz połączyć tryb, przekaźnik tryb, IPv4, IPv6 protokoły, transportu TCP i UDP, z pierwszej próbki w drugiej połowie 2017.”

Robi co Ngioweb złośliwego oprogramowania, jest wykorzystanie dwustopniowy C & C infrastruktury, gdzie na scenie-0 C & C serwer informuje złośliwego oprogramowania o serwerze etap-1 C & C, podczas gdy nieszyfrowane połączenia HTTP jest używany do tego celu. Drugi etap-1 C & C serwera jest używany do sterowania za pomocą szyfrowanego połączenia.

Ngioweb może działać w dwóch trybach główne – regularne ponownie connect proxy i tryb przekazywania serwera proxy. Będąc w trybie przekaźnika proxy, Ngioweb pozwala jej twórcy, zbudowanie sieci serwerów proxy i ukryć swoje usługi za adres IP, bot.


Leave a Reply

Your email address will not be published. Required fields are marked *