Ngioweb Botnet

Von GoldSparrow in Botnets

Übersetzen Sie in:

Das Ngioweb-Botnetz ist ein Proxy-Botnetz mit zwei in freier Wildbahn erkannten Varianten - eine für Windows und eine für Linux-basierte Systeme. Während die Linux-Version der Bedrohung eine beträchtliche Menge an Code von der anderen leiht, verfügt sie über mehrere zusätzliche Funktionen. Die Hauptabweichung ist die Implementierung von DGA (Domain Generation Algorithm). Das Hauptziel des Ngioweb Botnet ist es, die Zielcomputer zu kompromittieren und ihnen einen Back-Connect-Proxy zu implantieren. Die Botnetzstruktur umfasst die Gruppierung mehrerer Bots in einzelne Proxy-Pools, die dann über einen zweistufigen Command-and-Control-Prozess (C&C, C2) gesteuert werden.

Das Ngioweb Botnet ist mit mehreren Anti-Analyse-Techniken ausgestattet, die ein Reverse Engineering der Bedrohung behindern sollen. Einige von ihnen beinhalten die Verwendung einer Nischenbibliothek namens "musl libc", Funktionen, die im Voraus in einer Tabelle gespeichert werden, eine konstante Tabelle, die von CRC und AES verwendet wird, Stack String Obfuscation, den oben genannten zweistufigen C2-Prozess und die Verwendung von doppelte Verschlüsselung für die C2-Kommunikation der zweiten Stufe.

Nach der Bereitstellung auf dem gefährdeten System besteht das Ziel von Ngioweb Botnet darin, den Kontakt mit der Stufe 1 der C2-Infrastruktur herzustellen. Zu diesem Zweck wird alle 73 Sekunden ein Kommunikationsversuch zu einem von der DGA generierten Domänennamen durchgeführt. Es wird eine Obergrenze von 300 Domainnamen festgelegt. Wenn der entsprechende Befehl von der ersten Stufe C2 empfangen wird, baut das Ngioweb-Botnetz die Kommunikation mit der übergeordneten Struktur der Server des Angreifers auf und erstellt die Back-Connect-Proxy-Funktion. Die Stufe-2-Kommunikation wird durch eine Kombination aus XOR und AES verschlüsselt. Insgesamt wurden 24 IP-Adressen als Teil davon entdeckt.

Die Linux-Variante des Ngioweb Botnet hat es geschafft, insgesamt 2692 IPs zu infizieren. Die Opfer kommen aus der ganzen Welt, aber fast die Hälfte - 1306 kommen aus den USA. Brasilien und Russland liegen mit 156 und 152 bestätigten BOT-IPs auf den Plätzen zwei und drei. Fast alle kompromittierten IPs gehörten zu Webservern, auf denen WordPress bereitgestellt wurde.

Suche

Region ändern

Ngioweb Botnet

Kommentar abgeben

Im Trend

„YouPorn“-E-Mail-Betrug

Safe Search Eng

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...