Новости Ботнет ShellBot использует шестнадцатеричные IP-адреса для уклонения от обнаружения

NewsMaker

I'm just a script
Премиум
13,852
20
8 Ноя 2022
Вредоносный код проникает всё глубже, обходя стандартные меры защиты.


4n6h9hoxn2jr5s0mf5jyex7qyzicincb.jpg


Злоумышленники, стоящие за ботнетом ShellBot, используют IP-адреса , преобразованные в шестнадцатеричную систему счисления, чтобы проникнуть на уязвимые SSH -серверы Linux и развернуть там вредоносное ПО для проведения DDoS -атак.

В Для просмотра ссылки Войди или Зарегистрируйся , опубликованном сегодня специалистами AhnLab Security ( ASEC ), говорится: «Общий порядок действий хакеров остаётся прежним, но вот URL -адрес загрузки, используемый атакующими для установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение».

ShellBot, также известный как PerlBot, нарушает безопасность серверов со слабыми SSH-данными посредством атаки по словарю. Этот вредоносный код используется для организации DDoS-атак и доставки майнеров криптовалют.

Разработанный на Perl, вредоносный код ботнета использует протокол IRC для связи с C2-сервером управления и контроля.

Последние наблюдаемые атаки с использованием ShellBot устанавливают вредоносное ПО, используя шестнадцатеричные IP-адреса. Например, канал связи создаётся для IP-адреса «hxxp://0x2763da4e/», что соответствует адресу «hxxp://39.99.218.78».

Такой способ подключения работает корректно и не вызывает обнаружений, из чего можно сделать вывод, что к подобному ухищрению хакеры пришли намеренно для обхода детектирования на основе URL.

ASEC подчёркивает: «Благодаря использованию curl для загрузки и его возможности поддерживать шестнадцатеричные адреса, аналогично веб-браузерам, ShellBot может быть успешно загружен в среде Linux и выполнен через Perl».

Подобное развитие вредоноса является признаком того, что ShellBot продолжает активно использоваться для кибернападений на Linux-системы. А так как ShellBot может использоваться для установки дополнительного вредоносного ПО или запуска различных типов атак со скомпрометированного сервера, рекомендуется использовать надёжные пароли и регулярно их менять.

Ранее специалисты ASEC Для просмотра ссылки Войди или Зарегистрируйся с использованием нестандартных сертификатов с необычно длинными строками для полей «Имя субъекта» и «Имя издателя» для распространения вредоносного ПО, предназначенного для кражи информации — Lumma Stealer и RecordBreaker.

Возвращаясь к ShellBot, можно сказать, что рассмотренная кампания является напоминанием о том, что стандартные механизмы обнаружения могут быть с лёгкостью обойдены с помощью уловок злоумышленников, таких как замена классических IP-адресов на шестнадцатеричные значения.

Всё это подчёркивает необходимость постоянного развития отрасли кибербезопасности, повышения внимания к деталям и готовности к адаптации в условиях постоянно меняющегося ландшафта атак.
 
Источник новости
www.securitylab.ru

Похожие темы