Ramnit operatörleri siyah Proxy Botnet yaratmada katkıda

Computer Security News

Denetim noktası güvenlik uzmanları “Siyah” botnet, Ramnit geliştiriciler tarafından oluşturulan olarak izlenen bir büyük proxy botnet buldular bildirdi.

Ramnit ilk 2010 yılında tescil edilmiştir ve şu anda en popüler bankacılık malware ailelerden biri bilinir. 2011 yılında, botnet geliştiriciler bu sızdırılmış Zeus kaynak kodundan başlangıç ve malware bir bankacılık Trojan içine dönüm geliştirilmiş. 2014 yılında, dünyanın dördüncü büyük botnet “Siyah” botnet oldu.

Gelecek yıl, Europol Ramnit C2 altyapı takedown duyurdu. Ancak, sadece bir kaç ay sonra IBM Güvenlik uzmanları Ramnit Truva yepyeni bir sürümü bulundu.

Bir süre önce araştırmacılar “Siyah” botnet iki ay içinde 100.000’den fazla cihazlar bulaşmış ve bu sadece bir başlangıç çünkü Ngioweb denilen bir ikinci aşama kötü amaçlı yazılım zaten etrafında yayılıyor bildirdi.

Büyük olasılıkla, Ramnit geliştiricileri hangi dolandırıcılık faaliyetleri bir dizi için kullanılabilir bir büyük, çok amaçlı proxy botnet oluşturmak için iki malware kullanıyorsunuz.

“Son zamanlarda biz Ramnit C & C server (185.44.75.109) hangi daha önce en yaygın botnet ilişkili değildir keşfetti”demetra“. Bu C & C IP adresine çözümlenir etki alanı adlarına göre sunucu, miş gibi bile eski botlar, 2015 yılında ilk görülen denetlemek. Bu botnet “Bu botnet trafiği şifrelemesi için kullanılan siyah” “siyah”, RC4 anahtar değeri nedeniyle adını koyduk.” Denetim noktası güvenlik Çözümleme durumları.

“Bu C & C server aslında 6 Mart 2018 beri aktif oldu ama dikkat”siyah”botnet düşük kapasitesi nedeniyle o zaman çekmek değil. Ancak, Mayıs-Temmuz ayında 2018 yeni bir Ramnit kampanya 100.000 civarında bilgisayarları enfekte tespit ettik.”

Araştırmacılar iddia ediyor siyah işleminde, Ramnit malware spam kampanyalar ile dağıtılır. İlk aşama malware kötü amaçlı kod çalışır ve Ngioweb denilen bir ikinci aşama kötü amaçlı yazılım teslim etmek için kullanılan.

Ngioweb kendi ikili protokol şifreleme, iki kat ile kullanan bir çok fonksiyonlu proxy sunucusu temsil eder “ denetim noktası analizi okur.

“Proxy kötü amaçlı yazılım desteği arka bağlamak-modu, geçiş modu, IPv4, IPv6 protokolleri, TCP ve UDP için taşımaları, 2017 yılının ikinci yarısında görülen ilk örnekleri ile.”

Ngioweb malware, yararlanarak iki aşamalı C & C altyapı, nerede sahne-0 C & C sunucuya şifrelenmemiş HTTP bağlantısı bu amaç için kullanıldığı gibi sahne-1 C & C server hakkında kötü amaçlı yazılım bildirir. İkinci Aşama-1 C & C sunucu şifreli bir bağlantı üzerinden malware denetlemek için kullanılır.

Ngioweb iki ana modda çalışabilir – proxy ve röle proxy modu normal arka-bağlamak. Röle proxy modunda olmak, Ngioweb zincirler yakınlık kurmak ve onların hizmetleri bir bot IP adresini arkasında gizlemek onun yaratıcıları sağlar.


Leave a Reply

Your email address will not be published. Required fields are marked *