Търсене
Close this search box.

Ботмрежата, създадена за DDoS, backdooring и пускане на зловреден софтуер, избягва стандартното откриване на URL сигнатури с нов подход, включващ шестократни IP адреси.

Кибератаките се насочват към Linux SSH сървъри със зловредния софтуер ShellBot и имат нов метод за прикриване на дейността си: използват шестнадесетични IP адреси (Hex IP), за да избегнат засичане, базирано на поведението.

Според изследователи от Центъра за реагиране при извънредни ситуации в областта на сигурността на AhnLab (ASEC)  заплахите превеждат познатата „точка-десетична“ формация на URL адресите на командите и управлението (т.е. hxxp://39.99.218[.]78,) във формат Hex IP адрес (като hxxp://0x2763da4e/), който повечето сигнатури за откриване на базата на URL адреси няма да анализират или маркират.

„IP адресите могат да се изразяват във формати, различни от точков десетичен запис, включително десетичен и шестнадесетичен запис, и като цяло са съвместими с широко използваните уеб браузъри“, се казва в консултацията на ASEC относно атаките с Hex IP. „Благодарение на използването на curl за изтегляне и способността му да поддържа шестнадесетична бройна система точно както уеб браузърите, ShellBot може да бъде изтеглен успешно в системна среда Linux и изпълнен чрез Perl.“

ShellBot, известен още като PerlBot, е добре познат ботнет, който използва речникови атаки, за да компрометира сървъри, които имат слаби SSH пълномощия. Оттам крайната точка на сървъра се вкарва в действие, за да достави разпределени атаки за отказ на услуга (DDoS) или да пусне полезен товар като криптоминьори на заразените машини.

„Ако е инсталиран ShellBot, Linux сървърите могат да бъдат използвани … за DDoS атаки срещу конкретни цели, след като получат команда от субекта на заплахата“, обяснява ASEC. „Освен това  заплахата може да използва различни други функции на задната врата, за да инсталира допълнителен зловреден софтуер или да започне различни видове атаки от компрометирания сървър.“

За да защитят организациите си от атаки с ShellBot, администраторите трябва просто да повишат хигиената на паролите си, като използват силни пароли и се уверят, че редовно сменят своите защитени удостоверения.

 

Източник: DARKReading

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
03/12/2024

Корейски производител добав...

Южнокорейската полиция е арестувала главен изпълнителен...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
28/11/2024

ESET обяви прототип на UEFI...

Ловците на зловреден софтуер от ESET...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!