fbpx
Май 27, 2020 9:00 | Alexandr Kim |

ботнет

Исследователи Bitdefender недавно обнаружили новую бот-сеть IoT, в которую входят функции и возможности, «позорящие» большинство известных бот-сетей IoT и вредоносных программ.

Мы назвали ботнет «dark_nexus» на основе строки, которую он печатает в своем баннере. В одной из своих ранних версий он использовал это имя в строке пользовательского агента при выполнении эксплойтов по HTTP: «dark_NeXus_Qbot / 4.0».

Наш анализ показал, что, несмотря на повторное использование некоторого код Qbot и Mirai, основные модули «dark_nexus» являются оригинальными.

Хотя он может иметь ряд схожих функций с известными ботнетами IoT, некоторые его модули сделали «dark_nexus» значительно мощнее и надежнее. Например, полезные нагрузки компилируются для 12 различных архитектур ЦП и динамически доставляются в зависимости от конфигурации жертвы.

Новый ботнет также использует метод, предназначенный для обеспечения «превосходства» на скомпрометированном устройстве. А также уникальную систему оценки, основанную на весах и порогах, чтобы оценить какие процессы могут представлять риск. Это включает в себя ведение списка процессов из белого списка, их PID и уничтожение любого другого процесса, который пересекает порог подозрения.

Похоже, что dark_nexus был разработан известным автором ботнета greek.Helios, который годами продает DDoS-сервисы и коды и имеет опыт работы с вредоносными программами IoT.


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.