Обнаружен странный ботнет, очищающий IoT-устройства от заражений - «Новости»
Google намерена превратить ChromeOS в Android - «Новости сети»
Google намерена превратить ChromeOS в Android - «Новости сети»
Пользователи iPhone 16 стали слышать чужие голоса из динамиков - «Новости сети»
Пользователи iPhone 16 стали слышать чужие голоса из динамиков - «Новости сети»
Samsung придумала, как сделать смартфоны тоньше — представлена перископическая камера ISOCELL ALoP - «Новости сети»
Samsung придумала, как сделать смартфоны тоньше — представлена перископическая камера ISOCELL ALoP - «Новости сети»
Nike выпустила кроссовки, почти полностью напечатанные на 3D-принтере - «Новости сети»
Nike выпустила кроссовки, почти полностью напечатанные на 3D-принтере - «Новости сети»
Китайские производители памяти захватывают рынок, предлагая DDR4 за полцены - «Новости сети»
Китайские производители памяти захватывают рынок, предлагая DDR4 за полцены - «Новости сети»
ИИ-ускорители Nvidia Blackwell страдают от перегрева — из-за этого придётся менять дизайн серверов - «Новости сети»
ИИ-ускорители Nvidia Blackwell страдают от перегрева — из-за этого придётся менять дизайн серверов - «Новости сети»
Apple выпустит AirTag 2 в следующем году — обновлённый трекер станет точнее и не только - «Новости сети»
Apple выпустит AirTag 2 в следующем году — обновлённый трекер станет точнее и не только - «Новости сети»
Спутниковый интернет SpaceX Starlink применили в тестах сверхзвуковых и гиперзвуковых самолётов - «Новости сети»
Спутниковый интернет SpaceX Starlink применили в тестах сверхзвуковых и гиперзвуковых самолётов - «Новости сети»
Casio представила смарт-кольцо в виде часов — оно даже показывает время, а также имеет световой будильник - «Новости сети»
Casio представила смарт-кольцо в виде часов — оно даже показывает время, а также имеет световой будильник - «Новости сети»
Второй крупнейший производитель видеокарт в мире бежит из Китая, чтобы выпускать GeForce RTX 5090 и RTX 5080 - «Новости сети»
Второй крупнейший производитель видеокарт в мире бежит из Китая, чтобы выпускать GeForce RTX 5090 и RTX 5080 - «Новости сети»
Новости мира Интернет » Новости » Обнаружен странный ботнет, очищающий IoT-устройства от заражений - «Новости»
.




);

Специалисты Qihoo 360 Netlab обнаружили ботнет Fbot, построенный на базе исходных кодов малвари Satori. Судя по всему, главной задачей этого вредоноса является очистка зараженных устройств от других угроз.


IoT-малварь Satori является «потомком» другой известной угрозы, Mirai. Исходные коды Mirai были опубликованы в открытом доступе еще осенью 2016 года, что повлекло за собой появление многочисленных модификаций и IoT-ботнетов, многие из которых представляют угрозу до сих пор. Более того, такая же участь постигла и исходный код Satori, тот был опубликован в открытом доступе в январе 2018 года. В итоге на базе Satori тоже появилось множество ботнетов, занимающихся майнингом криптовалюты, распространением различных троянов и так далее.


Аналитики Qihoo 360  пишут, что Fbot отличается от других Satori-ботнетов. Угроза была впервые замечена на прошлой неделе и, судя по всему, ее основной задачей является очиcтка зараженных гаджетов от другой малвари, в частности, от com.ufo.miner, вариации майнера ADB.Miner.


Напомню, что ADB.Miner был обнаружен в феврале 2018 года. Тогда эксперты Qihoo 360 Netlab заметили малварь, которая сканировала сеть в поисках Android-устройств с открытыми отладочными портами ADB (чаще всего это порт 5555). Так как под управлением Android работают не только смартфоны и планшеты, заражению также подвергались, к примеру, «умные» телевизоры и различные приставки для ТВ.


Fbot работает почти так же, как и сам ADB.Miner. Он сканирует сеть в поисках открытых портов TCP 5555, а затем задействует скрипт, загружающий и устанавливающий на уязвимое устройство малварь, а также поддерживающий связь с управляющим сервером. Разница лишь в том, что в качестве пейлоада здесь выступает деинсталлятор майнинговых скриптов. Удалив майнера и очистив систему от следов его присутствия, Fbot удаляет себя.


При этом Fbot оснащен DDoS-модулем, позаимствованным у Mirai, но исследователи пишут, что со стороны ботнета не поступало даже намеков на DDoS-атаки. Впрочем, специалисты не торопятся называть операторов Fbot добрыми самаритянами, ведь может оказаться, что удаляя другую малварь, Fbot попросту борется с конкурентами и расчищает себе поле деятельности.


Еще одной интересной особенностью Fbot является использование альтернативы DNS, EmerDNS  (децентрализованной системы доменных имен с поддержкой любых DNS-зон и TLD). Управляющий сервер малвари располагается на musl.lib, и аналитики подчеркивают, что такие домены верхнего уровня не зарегистрированы ICANN, а значит, ботнет сложнее обнаружить, а к такому домену труднее применить технику sinkhole.





Источник новостиgoogle.com

. ); Специалисты Qihoo 360 Netlab обнаружили ботнет Fbot, построенный на базе исходных кодов малвари Satori. Судя по всему, главной задачей этого вредоноса является очистка зараженных устройств от других угроз. IoT-малварь Satori является «потомком» другой известной угрозы, Mirai. Исходные коды Mirai были опубликованы в открытом доступе еще осенью 2016 года, что повлекло за собой появление многочисленных модификаций и IoT-ботнетов, многие из которых представляют угрозу до сих пор. Более того, такая же участь постигла и исходный код Satori, тот был опубликован в открытом доступе в январе 2018 года. В итоге на базе Satori тоже появилось множество ботнетов, занимающихся майнингом криптовалюты, распространением различных троянов и так далее. Аналитики Qihoo 360 пишут, что Fbot отличается от других Satori-ботнетов. Угроза была впервые замечена на прошлой неделе и, судя по всему, ее основной задачей является очиcтка зараженных гаджетов от другой малвари, в частности, от com.ufo.miner, вариации майнера ADB.Miner. Напомню, что ADB.Miner был обнаружен в феврале 2018 года. Тогда эксперты Qihoo 360 Netlab заметили малварь, которая сканировала сеть в поисках Android-устройств с открытыми отладочными портами ADB (чаще всего это порт 5555). Так как под управлением Android работают не только смартфоны и планшеты, заражению также подвергались, к примеру, «умные» телевизоры и различные приставки для ТВ. Fbot работает почти так же, как и сам ADB.Miner. Он сканирует сеть в поисках открытых портов TCP 5555, а затем задействует скрипт, загружающий и устанавливающий на уязвимое устройство малварь, а также поддерживающий связь с управляющим сервером. Разница лишь в том, что в качестве пейлоада здесь выступает деинсталлятор майнинговых скриптов. Удалив майнера и очистив систему от следов его присутствия, Fbot удаляет себя. При этом Fbot оснащен DDoS-модулем, позаимствованным у Mirai, но исследователи пишут, что со стороны ботнета не поступало даже намеков на DDoS-атаки. Впрочем, специалисты не торопятся называть операторов Fbot добрыми самаритянами, ведь может оказаться, что удаляя другую малварь, Fbot попросту борется с конкурентами и расчищает себе поле деятельности. Еще одной интересной особенностью Fbot является использование альтернативы DNS, EmerDNS (децентрализованной системы доменных имен с поддержкой любых DNS-зон и TLD). Управляющий сервер малвари располагается на musl.lib, и аналитики подчеркивают, что такие домены верхнего уровня не зарегистрированы ICANN, а значит, ботнет сложнее обнаружить, а к такому домену труднее применить технику sinkhole. Источник новости - google.com

запостил(а)
Lewin
Вернуться назад
+1

Смотрите также

А что там на главной? )))



Комментарии )))