Thời gian đăng: 2/1/2018 09:32:49
Theo một nghiên cứu được công bố vào ngày 25 tháng 7 tại hội nghị an ninh Black Hat, một mạng botnet ngang hàng đã lây nhiễm hơn 675.000 hệ thống, bao gồm cả các công ty thuộc 14 trong số 20 công ty hàng đầu trong danh sách 500 công ty Fortune 500.
Sửa laptop uy tín hà nội
Botnet, được gọi là Gameover, sử dụng một phiên bản riêng của Zeus framework, một bộ sưu tập các thành phần phần mềm cần thiết để thỏa hiệp các quả của máy tính. Brett Stone-Gross, một nhà nghiên cứu thuộc công ty bảo mật Dell Securityworks, điều hành nghiên cứu cho biết, hoạt động này nhắm tới khách hàng của các ngân hàng ở Mỹ, Châu Âu và Châu Á, và cho thấy sự phức tạp của các hoạt động này.
"Có chắc chắn một số botnet mới hơn đang sử dụng peer-to-peer và di chuyển khỏi mô hình điều khiển tập trung," Stone-Gross nói. "Thực sự không có cơ sở hạ tầng mà cơ quan thực thi pháp luật có thể đi và xuống mà không quay trở lại thông qua một số hệ thống bị xâm nhập. Họ đã ẩn cơ sở hạ tầng của họ thực sự tốt."
Nhà nghiên cứu đã làm việc để phân tích botnet từ tháng 4, và hoạt động phức tạp của nhóm sau Gameover.
Để lây nhiễm sang nhiều hệ thống hơn, các nhà điều hành bot đã sử dụng botnet spam của bên thứ ba, gọi là Cutwail, để gửi bản sao của các email hợp pháp đã được sửa đổi để lây lan phần mềm độc hại của họ. Những người nhấp vào liên kết trong email sẽ được gửi đến một máy chủ chuyển hướng chúng tới một hệ thống khác lưu trữ bộ công cụ khai thác chứa phần mềm chuyên về các hệ thống xâm nhập. Được biết đến như là bộ công cụ Blackhole exploit, phần mềm này phổ biến trong số các tội phạm mạng và tấn công nhiều lỗ hổng phần mềm.
"Bộ công cụ Blackhole không tự bỏ bản thân phần mềm độc hại," Stone-Gross nói. "Thay vào đó, nó bỏ một trình downloader gọi là Pony, điều thú vị là nó không chỉ là trình nạp, mà nó còn đánh cắp thông tin HTTP, FTP và email của bạn."
Một khi Pony cài đặt Zeus trên hệ thống bị xâm nhập, phần mềm sẽ thiết lập một kênh truyền thông trở lại cho những kẻ tấn công bằng cách sử dụng mạng ngang hàng, làm cho mạng botnet khó khăn hơn để tháo dỡ, bởi vì không có máy chủ lệnh và kiểm soát trung tâm để các cơ quan có thẩm quyền đóng cửa xuống.
Các máy bị lây nhiễm liên lạc với một danh sách mã hoá của các peer để cập nhật và lệnh. Mặc dù một số mạng botnet ngang hàng đã bị tiêu diệt bởi danh sách đồng nghiệp nhưng nó không phải là một con đường tấn công dễ dàng. Trong khi nghiên cứu về botnet, Stone-Gross đã chứng kiến ít nhất hai lần cố gắng phá vỡ botnet.
Giá xe volvo Việt Nam
Nhà nghiên cứu đã xác định được 678.205 ID bot độc nhất của máy tính sử dụng 1,6 triệu địa chỉ IP duy nhất. Chỉ có khoảng 15 phần trăm botnet có thể được liên lạc từ Internet, Stone-Gross nói. Những người khác có khả năng đằng sau bức tường lửa, bộ định tuyến hoặc proxy, ông nói.
Giống như các biến thể khác của Zeus, botnet Gameover sử dụng Web Injects - kỹ thuật chèn các phần tử vào một trang web hợp pháp - để thu thập thông tin quan trọng từ một khách hàng ngân hàng có thể được sử dụng để thỏa hiệp tài khoản của họ. Gần 22 phần trăm máy tính bị nhiễm bệnh được đặt tại Hoa Kỳ, trong khi Đức chiếm 7 phần trăm và Ý cho 5 phần trăm khác.
Sự phức tạp của hoạt động này xuất phát từ rất nhiều kinh nghiệm trong việc gắn các chiến dịch của Zeus, theo ông Stone-Gross.
Nhà nghiên cứu cho biết: "Đã có rất nhiều phiên bản Zeus cá nhân, và những kẻ này là một nhóm khá đằng sau những phiên bản cá nhân này. Volvo XC90 2018
|
|
Chia sẻ
