Botnet κανιβαλίζει άλλα shells πάνω από ένα χρόνο

Ένα botnet επιτίθεται και αποκτάει την πρόσβαση σε άλλα web shells  (backdoors σε διακομιστές ιστού) κακόβουλου λογισμικού για περισσότερο από ένα χρόνο, αποκάλυψαν σήμερα οι ερευνητές της Positive Technologies.

Οι ερευνητές συνέδεσαν το botnet με ένα παλαιό trojan με το όνομα Neutrino (επίσης γνωστό καισαν Kasidet), οι χειριστές του οποίου φαίνεται να έχουν μετατοπίσει τη στόχευση από τα desktops χρηστών σε web servser, στους οποίους εγκαθιστούν ένα κακόβουλο λογισμικό κρυπτογράφησης.

botnet

Οι ερευνητές της Positive Technologies αναφέρουν ότι αυτή η νέα φάση ς της συμμορίας Neutrino ξεκίνησε στις αρχές του 2018, όταν η ομάδα κατάφερε να αναπτύξει ένα πολυλειτουργικό botnet που ανίχνευε τυχαίες διευθύνσεις IP στο διαδίκτυο αναζητώντας συγκεκριμένες εφαρμογές και διακομιστές που μπορούσε να μολύνει.

Για να παραβιάσει τους άλλους διακομιστές, το botnet Neutrino χρησιμοποιεί διάφορες τεχνικές, όπως τη χρήση exploits για παλιές και νέες ευπάθειες, ευπάθειες σε διακομιστές phpMyAdmin ή που δεν έχουν κάποιο κωδικό , αλλά και επιθέσεις  brute-force στους root λογαριασμούς σε συτήματα phpMyAdmin, Tomcat και MS- SQL.

Οι ερευνητές αναφέρουν επίσης ότι το Neutrino κάνει περίεργα πράγματα, που δεν παρατηρούνται σε πολλά άλλα botnets. Για παράδειγμα, το συγκεκριμένο Neutrino αναζητά Ethereum nodes που λειτουργούν με προεπιλεγμένους κωδικούς πρόσβασης, συνδέεται με αυτά τα συστήματα και κλέβει αρχεία που είναι αποθηκευμένα τοπικά.

Το Neutrino όπως αναφέρουμε στον τίτλο εστιάζει και στο hacking των web shells.

Τα web shells είναι backdoors που χρησιμοποιούν οι hackers για να εκτελέσουν λειτουργίες σε κάποιο παραβιασμένο . Διαθέτουν ένα web-based interface από το οποίο οι hackers μπορούν να συνδεθούν και να εκδώσουν εντολές μέσω του προγράμματος ς τους, ή ένα ειδικό προγραμματισμένο περιβάλλον με το οποίο στέλνουν αυτοματοποιημένες εντολές.

Σύμφωνα με τους ερευνητές της Positive Technologies, το Neutrino ψάχνει τον ιστό για 159 διαφορετικούς τύπους PHP web shells και δύο JSP (Java Server Pages).

Το botnet δημιουργεί μια λίστα με web shells και στη συνέχεια ξεκινά επιθέσεις brute-force για να μαντέψει τα διαπιστευτήρια σύνδεσης και να αναλάβει την πρόσβαση.

Όσον αφορά την επιτυχία του Neutrino, η Positive Technologies αναφέρει ότι το botnet ήταν ένας από τους τρεις μεγαλύτερους αποστολείς queries στα honeypots που χρησιμοποιούσαν.

Με βάση την της εταιρείας, το botnet έχει αποδειχτεί αρκετά επιτυχημένο στη διακομιστών με Windows με το phpStudy, ένα ολοκληρωμένο μαθησιακό περιβάλλον δημοφιλές κυρίως μεταξύ Κινέζων προγραμματιστών.

Ωστόσο προσβάλλει και διακομιστές phpMyAdmin.

“Για να προστατευτούν οι διακομιστές από τη μόλυνση Neutrino, συνιστούμε στους διαχειριστές να ελέγχουν τον κωδικό πρόσβασης στο root λογαριασμό του phpMyAdmin”, αναφέρει ο Kirill Shipulin, ερευνητής ασφάλειας της Positive Technologies.

“Βεβαιωθείτε ότι οι υπηρεσίες σας είναι ενημερωμένες και εγκαταστήσετε τις πιο πρόσφατες ενημερώσεις. Να θυμάστε ότι το Neutrino ενημερώνεται τακτικά με νέα exploits.”

Τεχνικές λεπτομέρειες για το modus operandi του Neutrino μπορείτε να βρείτε στην δημοσίευση της Positive Technologies.

_______________________

.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).