Потаен ботнет озадачи експертите по сигурност
Компрометира сървърни системи по целия свят, единствено за два месеца се разрасна 600 пъти
Нов ботнет прониква в сървърните системи, само че задачата му остава скрита към този момент
(снимка: CC0 Public Domain)
Ботнет, открит през юли тази година, стартира да се разраства неимоверно бързо. Сървърните системи, които P2PInfect е компрометирал, са разпръснати по целия свят, съгласно специалисти по сигурност.
Само за два месеца P2PInfect е повишен 600 пъти. Този мащаб е улеснен от появяването на по-секретна версия на червея, благодарение на която ботнетът се популяризира в нови системи.
През юли специалисти от Unit 42 (Palo Alto Networks) откриха, че злонамереният програмен продукт нападна екземпляри на Redis – вместилище на данни с отворен код, ситуирано напълно в паметта на сървъра. Това става през сериозна накърнимост, която е типична за този програмен продукт както под Windows, по този начин и под Linux. Въпросната накърнимост разрешава осъществяване на случаен код в средата на Redis.
Експертите от Cado Security, които наблюдават активността на ботнета, означават, че засегнатите от него системи са ситуирани съвсем по целия свят – в Китай, Съединени американски щати, Германия, Сингапур, Хонг Конг, Англия и Япония.
Освен това, новите прихванати проби от зловредния програмен продукт демонстрират обилни промени в кода, които са подобрили характерностите му на „ червей ”, и внезапно увеличение на интензивността.
Това се потвърждава от данни, взети от “honeypot ” системи – примамки за злотворен програмен продукт, т.е. компютри с уязвим програмен продукт и слаба отбрана на достъпа, употребявани за прихващане на злотворен програмен продукт.
още по темата
Ако през юли, август и началото на септември всяка седмица са следени единствено 2 до 6 опита на P2PInfect за навлизане в honeypot системи, то сред 12 и 19 септември са преброени 3619 такива опита – т.е. броят на офанзивите се е нараснал 600 пъти.
Експертите на Cado означават също, че и броят на разновидностите на червея се е нараснал доста. Това демонстрира, че разработчиците на P2PInfect работят с доста високо равнище на интензивност.
Най-новите разновидности на зловредния програмен продукт провокират максимален интерес. Те вършат червея P2PInfect доста по-потаен от преди и по-опасен. Разработчиците са добавили нов механизъм за поддържане на наличие въз основа на cron задания и с помощта на него, главният съставен елемент на зловредния програмен продукт се рестартира на всеки 30 минути.
В допълнение, злонамереният програмен продукт към този момент разполага с спомагателен съставен елемент, който комуникира с първия посредством сокет на местен сървър и в случай че първият съставен елемент спре да работи или бъде заличен, ново копие се изтегля от различен ботнет възел и се рестартира.
Освен това зловредният програмен продукт към този момент употребява SSH ключа, с цел да презапише всички други ключове. Правейки това, той не разрешава на законните притежатели и консуматори да се свързват към компрометираната система посредством SSH. И в случай че злонамереният програмен продукт получи root привилегии, той също по този начин трансформира паролите на всички в случайно генерирана композиция от 10 знака, тъй че устройството към този момент да не е изцяло налично за законните му притежатели.
И най-после, както означават специалистите, P2PInfect е почнал да употребява C структури (C struct configuration) като настройки за потребителския съставен елемент, който към този момент може да се актуализира непосредствено в паметта. Преди това не са следени конфигурационни съставни елементи в злонамерения програмен продукт.
На специалистите към момента им е мъчно да дефинират задачата на ботнета. Някои копия на зловредния програмен продукт при клиента се пробват да заредят спомагателни съставни елементи за криптовалута, само че на към този момент компрометирани устройства не се следи нищо, което да прилича генериране на криптовалути.
Може би това е краткотрайно. Ботнет мрежите нормално се употребяват за DDoS офанзиви, спам или криптокопаене. В случая се следи бързо разрастващ се ботнет с доста нападателен механизъм за разпространяване и самоотбрана. Това демонстрира, че е нужна освен по-голяма изчислителна мощ, само че и непоклатимост и дълготрайно опазване на функционалността на същите възли.
Фактът, че ботнетът се основава за криптодобив, наподобява най-вероятната версия, макар че е допустимо хибридно потребление и отчасти отдаване чартърен на ботнет.
Имайки поради настоящия размер на ботнета, неговото географско разпространяване, способността за самообновяване и скоростта на напредък, P2PInfect може да се трансформира в скъп актив за всяка кибергрупа, означават специалистите. Всички тези „ преимущества ” вършат ботнета доста сериозна опасност, без значение по какъв начин се употребява.
Нов ботнет прониква в сървърните системи, само че задачата му остава скрита към този момент
(снимка: CC0 Public Domain)
Ботнет, открит през юли тази година, стартира да се разраства неимоверно бързо. Сървърните системи, които P2PInfect е компрометирал, са разпръснати по целия свят, съгласно специалисти по сигурност.
Само за два месеца P2PInfect е повишен 600 пъти. Този мащаб е улеснен от появяването на по-секретна версия на червея, благодарение на която ботнетът се популяризира в нови системи.
През юли специалисти от Unit 42 (Palo Alto Networks) откриха, че злонамереният програмен продукт нападна екземпляри на Redis – вместилище на данни с отворен код, ситуирано напълно в паметта на сървъра. Това става през сериозна накърнимост, която е типична за този програмен продукт както под Windows, по този начин и под Linux. Въпросната накърнимост разрешава осъществяване на случаен код в средата на Redis.
Експертите от Cado Security, които наблюдават активността на ботнета, означават, че засегнатите от него системи са ситуирани съвсем по целия свят – в Китай, Съединени американски щати, Германия, Сингапур, Хонг Конг, Англия и Япония.
Освен това, новите прихванати проби от зловредния програмен продукт демонстрират обилни промени в кода, които са подобрили характерностите му на „ червей ”, и внезапно увеличение на интензивността.
Това се потвърждава от данни, взети от “honeypot ” системи – примамки за злотворен програмен продукт, т.е. компютри с уязвим програмен продукт и слаба отбрана на достъпа, употребявани за прихващане на злотворен програмен продукт.
още по темата
Ако през юли, август и началото на септември всяка седмица са следени единствено 2 до 6 опита на P2PInfect за навлизане в honeypot системи, то сред 12 и 19 септември са преброени 3619 такива опита – т.е. броят на офанзивите се е нараснал 600 пъти.
Експертите на Cado означават също, че и броят на разновидностите на червея се е нараснал доста. Това демонстрира, че разработчиците на P2PInfect работят с доста високо равнище на интензивност.
Най-новите разновидности на зловредния програмен продукт провокират максимален интерес. Те вършат червея P2PInfect доста по-потаен от преди и по-опасен. Разработчиците са добавили нов механизъм за поддържане на наличие въз основа на cron задания и с помощта на него, главният съставен елемент на зловредния програмен продукт се рестартира на всеки 30 минути.
В допълнение, злонамереният програмен продукт към този момент разполага с спомагателен съставен елемент, който комуникира с първия посредством сокет на местен сървър и в случай че първият съставен елемент спре да работи или бъде заличен, ново копие се изтегля от различен ботнет възел и се рестартира.
Освен това зловредният програмен продукт към този момент употребява SSH ключа, с цел да презапише всички други ключове. Правейки това, той не разрешава на законните притежатели и консуматори да се свързват към компрометираната система посредством SSH. И в случай че злонамереният програмен продукт получи root привилегии, той също по този начин трансформира паролите на всички в случайно генерирана композиция от 10 знака, тъй че устройството към този момент да не е изцяло налично за законните му притежатели.
И най-после, както означават специалистите, P2PInfect е почнал да употребява C структури (C struct configuration) като настройки за потребителския съставен елемент, който към този момент може да се актуализира непосредствено в паметта. Преди това не са следени конфигурационни съставни елементи в злонамерения програмен продукт.
На специалистите към момента им е мъчно да дефинират задачата на ботнета. Някои копия на зловредния програмен продукт при клиента се пробват да заредят спомагателни съставни елементи за криптовалута, само че на към този момент компрометирани устройства не се следи нищо, което да прилича генериране на криптовалути.
Може би това е краткотрайно. Ботнет мрежите нормално се употребяват за DDoS офанзиви, спам или криптокопаене. В случая се следи бързо разрастващ се ботнет с доста нападателен механизъм за разпространяване и самоотбрана. Това демонстрира, че е нужна освен по-голяма изчислителна мощ, само че и непоклатимост и дълготрайно опазване на функционалността на същите възли.
Фактът, че ботнетът се основава за криптодобив, наподобява най-вероятната версия, макар че е допустимо хибридно потребление и отчасти отдаване чартърен на ботнет.
Имайки поради настоящия размер на ботнета, неговото географско разпространяване, способността за самообновяване и скоростта на напредък, P2PInfect може да се трансформира в скъп актив за всяка кибергрупа, означават специалистите. Всички тези „ преимущества ” вършат ботнета доста сериозна опасност, без значение по какъв начин се употребява.
Източник: technews.bg
КОМЕНТАРИ