一个新的僵尸网络通过其表面合法行为和原始通信通道,与其命令和控制服务器的使用吸引了安全研究人员的注意。
Fbot是Mirai的一种奇特变体,它保留了原始的DDoS模块但似乎没有使用它。这不是还最奇怪的事情,因为它目前的目的是搜索受密码恶意软件感染的设备并清理它们。
来自Qihoo的360Netlab的安全研究人员发现了这种新病毒,并注意到它在寻找一种名为“com.ufo.miner”的僵尸网络恶意软件,这是一种已知的ADB.Miner变种, 可以在Android设备上为Monero挖矿。
Fbot通过扫描具有开放端口5555的设备进行传播,该端口由Android上的ADB(Android Debug Bridge)服务使用,然后通过ADB接口检索脚本。
脚本的一个功能是卸载'com.ufo.miner'恶意软件。另一个是下载主要有效载荷Fbot,其中包含有关联系命令和控制(C2)服务器的详细信息。第三个功能是自毁。
Fbot似乎对先前感染com.ufo.miner的系统产生了积极影响,因为它查找与cryptomining活动相关联的进程(SMI,RIG,XIG)并将其杀死。
根据研究人员的说法,Fbot的制造商为C2服务器选择了一个可通过分散域名系统(DNS)访问的域名,该域名系统通过点对点网络共享域名,使其更难以跟踪和删除。
“C2域名musl.lib不是标准的DNS域名。它的顶级域名.lib没有注册到ICANN,传统的DNS系统无法解决,”360Netlab 详细信息。
域名通过EmerDNS解决,EmerDNS是EmerCoin的基于区块链的DNS,一个提供来自EMC,COIN,LIB和BAZAR名称空间的域名注册的平台,通过自己的DNS服务器提供这些域名。
EmerCoin现在与OpenNIC达成对等协议,OpenNIC是传统顶级域名注册机构的最大替代方案,用于解析其域名。
“除了传统的DNS之外,使用EmerDNS选择Fbot非常有趣,它提高了安全研究人员查找和跟踪僵尸网络的门槛(如果他们只查找传统的DNS名称,安全系统将会失败),也会使得更难以下沉C2领域,至少不适用于ICANN成员,“研究人员指出。
Fbot的技术细节很有趣,目前还不清楚这是一个想要摆脱竞争的蠢货还是对手的工作。但是,一些使用的方法可能会越来越受到希望保护其业务的网络犯罪分子的欢迎。目前可以肯定的是,Fbot消除了一个加密恶意软件并取代了受害者系统。
领取专属 10元无门槛券
私享最新 技术干货