Botnet ailesinin “Mirai” nin mimetik kötü amaçlı yazılımları, Fortinet'ten BT araştırmacılarının dikkatini uyandırdı. Botnet “Gayfemboy” diyorlar. Cisco, Draytek, Raisecom ve TP-Link ürünlerindeki zayıf noktalara saldırın. Kötü amaçlı yazılım bazı ilginç özelliklere sahiptir.
Fortinet'in analizine göre, analistler Temmuz ayında çeşitli zayıflıkları kötüye kullanabilecek bir kötü amaçlı yazılım örneği üzerinde bir araya geldi. “Gayfemboy” kampanyası, Almanya, Fransa, İsrail, Meksika, İsviçre, ABD ve Vietnam olmak üzere çeşitli ülkeler arasında aktif. Bağlı endüstriler arasında işlem endüstrisi, teknoloji, inşaat endüstrisi, medya ve iletişim bulunmaktadır. Temas edilen adreslerden, malign indir komut dosyaları, Gayfemboy kötü amaçlı yazılım ve XMIG paralarını indirebildiler. İndiriciler komut dosyaları, “Asus”, “Vivo”, “Zyxel” veya “Realtek” gibi üreticilerin ve ürünlerin adlarını içerir ve bu nedenle sorularda parametreler kullanır.
Mimetik ve aldatma
İncelenen örnek, “UPX!” Bununla birlikte, “10 f0 00 00” kodunda, bu basit keşfi önlemelidir. Yürütmeden sonra, kötü amaçlı yazılım her işlemin yollarını “/Proc/[PID]/Exe “Dosya sistemindeki devam eden işlemler ve bunların yerleri hakkında bilgi keşfetmek için. Kötü amaçlı yazılım, diğer kötü amaçlı yazılımlara bağlı belirli anahtar kelimeleri arar ve rakip enfeksiyonları kaldırmak için işlemleri sona erdirir.
Gayfemboy: İzleme, koruma köpeği, saldırgan ve katilin dört ana işlevi vardır. İplik monitörlerini ve işlemlerini izleyin. Bellekte komuta etmek için 47 ipi bırakın ve tüm sesleri tarayın “/Proc/[PID]/cmdline “. Bir anlaşma varsa, ilişkili süreç sona erer. Bu komutlar arasında” ls -l “,” yeniden başlat “,” wget “ve diğerleri. Monitör, kendini koruma ve sanal alanının tespitini sunar. Gayfemboy, boyama sürecinin sonuçlandırıldığını fark ettiğinde, 27 saat parazit.
Guard Dog'un işlevi UDP 47272 kapısını kaydeder. Bu başarısız olursa, kötü amaçlı yazılım, Guard Dog için başka bir talebin zaten çalıştığını varsayar. Ardından kapıyı Localhost'a (127.0.0.1:47272) bağlayın ve zaman damgası ve PID özelliklerini içeren bir paket gönderir. Kötü amaçlı yazılım bu mesajı bir cevap almadan dokuz kez daha fazla gönderirse, kötü amaçlı yazılımın artık tepki vermediği veya tehlikeye atılmadığı ve kendisini bitirdiği sonucuna varır.
Saldırganın işlevi dışarıda çalışır. DDOS saldırılarının (dağıtılmış hizmetin reddedilmesi) başlamasından sorumludur ve arka kapıya erişim sağlar. Çeşitli saldırı yöntemleri sağlar. Fortinet'in UDP selleri, UDP bypass, TCP sel, syn tcp sel, ICMP sel, kalp atışı ve arka kapı modülü vardır. Gayfemboy'daki arka kapıyı etkinleştirmek için tetikleyici “Meowmeow” ipidir. Kötü amaçlı yazılım komut ve kontrol sunucusuna bağlanmaya çalışır. Belirtilen alanları çözmek için, 1.1.1.1, 8.8.8.8 veya 8.8.4.4 gibi genel DNS sunucularını kullanın. Bu yerel filtreyi yönetebilir.
Analiz ayrıca, BT yöneticilerinin makinelerin ağlarıyla ilgilenip ilgilenemeyeceğini kontrol edebilecekleri çok sayıda enfeksiyon testi (uzlaşma göstergeleri, yani, yani).
Mirai-Botnet'in kendisi Mayıs ayında Samsung Magicinfo-9 sunucusuna saldırdı.
(DMK)
Bir yanıt yazın