Stantinko Botnet
Das Stantinko-Botnetz ist seit 2012 aktiv. Die Cyber-Gauner haben es irgendwie geschafft, dieses Botnetz sieben Jahre lang aktiv zu halten, was ziemlich beeindruckend ist. Es scheint, dass sich die meisten Systeme, die Teil des Stantinko-Botnetzes sind, in ex-sowjetischen Ländern befinden - Russland, Ukraine, Weißrussland, Kasachstan usw. Es wurde geschätzt, dass das Stantinko-Botnetz aus über 500.000 kompromittierten Maschinen besteht . Die meisten Botnetze werden für DDoS-Angriffe (Distributed-Denial-of-Service) verwendet. Das Interessante am Stantinko-Botnetz ist jedoch, dass dieses Botnetz trotz seiner Größe noch nicht für einen DDoS-Angriff eingesetzt werden muss. Stattdessen haben die Betreiber des Stantinko-Botnetzes es in verschiedenen anderen Kampagnen eingesetzt, darunter Massen-Spam-E-Mails, das Sammeln vertraulicher Daten, falsche Anzeigenklicks, Betrug usw.
Inhaltsverzeichnis
Das Stantinko-Botnetz wird für den Abbau von Monero verwendet
Vor kurzem haben die Betreiber des Stantinko-Botnetzes entschieden, das Cryptocurrency-Mining in ihre Aufgabenliste aufzunehmen. Sie verwenden einen Cryptocurrency Miner, der dank eines Open-Source-Projekts erstellt wurde, das die Angreifer geringfügig geändert haben. Die meisten Bedrohungen dieser Art basieren auf XMRig , aber die Betreiber des Stantinko-Botnetzes haben stattdessen beschlossen, das Projekt 'xmr-stak' zu ändern und zu verwenden. Der Miner, der vom Stantinko-Botnetz verwendet wird, dient zum Minen der Monero-Kryptowährung. Die Betreiber des Stantinko-Botnetzes haben dafür gesorgt, dass das Mining-Modul stark verschleiert wird, um die Dissektion weitaus komplexer zu gestalten.
Nimmt die IP-Adressen aus den YouTube-Videobeschreibungen
Ein weiterer Trick zur Verschleierung, den die Betreiber des Stantinko-Botnetzes anwenden, ist die Kommunikationsmethode, die in ihren Kampagnen verwendet wird. Anstatt einen festen Mining-Pool zu verwenden, haben sich die Entwickler des Stantinko-Botnets dafür entschieden, die IP-Adressen aus den Beschreibungen verschiedener YouTube-Videos zu entnehmen, die sie auf die Plattform hochladen. Natürlich sind die Adressen, die das Stantinko-Botnetz verwendet, nicht ohne weiteres verfügbar, sondern müssen zuerst dekodiert werden.
Selbsterhaltungstechniken
Um sicherzustellen, dass ihre Malware die gesamte Rechenleistung des infizierten Hosts nutzt, haben die Autoren dieser Bedrohung eine Funktion integriert, mit der jeder andere Kryptowährungs-Miner erkannt werden kann, der möglicherweise auf dem System vorhanden ist. Wenn ein anderer Miner gefunden wird, wird er von der Malware der Stantinko Botnet-Entwickler beendet. Es scheint, dass die Betreiber des Stantinko-Botnetzes auch eine Selbsterhaltungstechnik für ihr Kryptominationsmodul implementiert haben. Der Miner kann feststellen, ob der Benutzer den Windows Task-Manager gestartet hat. Wenn dies der Fall ist, beendet das Miningmodul seine Aktivität. Dies geschieht, um zu vermeiden, dass das Opfer entdeckt wird, da es offensichtlich ist, dass etwas nicht stimmt, wenn der Benutzer sieht, wie viel CPU verwendet wird. Dieser clevere Trick erschwert das Erkennen der Aktivität des Cryptocurrency Miners und erhöht die Wahrscheinlichkeit, dass die Bedrohung für einen längeren Zeitraum weiter besteht. Das Stantinko-Botnetz kann auch jede Anti-Malware-Anwendung erkennen, die möglicherweise auf dem gefährdeten Computer vorhanden ist. Interessanterweise werden jedoch keine Maßnahmen ergriffen, um die schädliche Aktivität der Bedrohung zu verbergen, selbst wenn sich auf dem infizierten Host Antivirensoftware befindet.
Die zwielichtigen Menschen hinter dem Stantinko Botnet leisten gute Arbeit, bauen ihr Netzwerk aus und bleiben auch nach sieben Jahren noch aktiv. Das Stantinko-Botnetz kann ernsthafte Probleme verursachen, und es ist unwahrscheinlich, dass die Kriminellen, die dieses Botnetz betreiben, die Absicht haben, ihre Aktivitäten bald einzustellen, nachdem sie so lange aktiv waren.
