Вредоносный код проникает всё глубже, обходя стандартные меры защиты.
Злоумышленники, стоящие за ботнетом ShellBot, используют IP-адреса , преобразованные в шестнадцатеричную систему счисления, чтобы проникнуть на уязвимые SSH -серверы Linux и развернуть там вредоносное ПО для проведения DDoS -атак.
В Для просмотра ссылки Войдиили Зарегистрируйся , опубликованном сегодня специалистами AhnLab Security ( ASEC ), говорится: «Общий порядок действий хакеров остаётся прежним, но вот URL -адрес загрузки, используемый атакующими для установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение».
ShellBot, также известный как PerlBot, нарушает безопасность серверов со слабыми SSH-данными посредством атаки по словарю. Этот вредоносный код используется для организации DDoS-атак и доставки майнеров криптовалют.
Разработанный на Perl, вредоносный код ботнета использует протокол IRC для связи с C2-сервером управления и контроля.
Последние наблюдаемые атаки с использованием ShellBot устанавливают вредоносное ПО, используя шестнадцатеричные IP-адреса. Например, канал связи создаётся для IP-адреса «hxxp://0x2763da4e/», что соответствует адресу «hxxp://39.99.218.78».
Такой способ подключения работает корректно и не вызывает обнаружений, из чего можно сделать вывод, что к подобному ухищрению хакеры пришли намеренно для обхода детектирования на основе URL.
ASEC подчёркивает: «Благодаря использованию curl для загрузки и его возможности поддерживать шестнадцатеричные адреса, аналогично веб-браузерам, ShellBot может быть успешно загружен в среде Linux и выполнен через Perl».
Подобное развитие вредоноса является признаком того, что ShellBot продолжает активно использоваться для кибернападений на Linux-системы. А так как ShellBot может использоваться для установки дополнительного вредоносного ПО или запуска различных типов атак со скомпрометированного сервера, рекомендуется использовать надёжные пароли и регулярно их менять.
Ранее специалисты ASEC Для просмотра ссылки Войдиили Зарегистрируйся с использованием нестандартных сертификатов с необычно длинными строками для полей «Имя субъекта» и «Имя издателя» для распространения вредоносного ПО, предназначенного для кражи информации — Lumma Stealer и RecordBreaker.
Возвращаясь к ShellBot, можно сказать, что рассмотренная кампания является напоминанием о том, что стандартные механизмы обнаружения могут быть с лёгкостью обойдены с помощью уловок злоумышленников, таких как замена классических IP-адресов на шестнадцатеричные значения.
Всё это подчёркивает необходимость постоянного развития отрасли кибербезопасности, повышения внимания к деталям и готовности к адаптации в условиях постоянно меняющегося ландшафта атак.
Злоумышленники, стоящие за ботнетом ShellBot, используют IP-адреса , преобразованные в шестнадцатеричную систему счисления, чтобы проникнуть на уязвимые SSH -серверы Linux и развернуть там вредоносное ПО для проведения DDoS -атак.
В Для просмотра ссылки Войди
ShellBot, также известный как PerlBot, нарушает безопасность серверов со слабыми SSH-данными посредством атаки по словарю. Этот вредоносный код используется для организации DDoS-атак и доставки майнеров криптовалют.
Разработанный на Perl, вредоносный код ботнета использует протокол IRC для связи с C2-сервером управления и контроля.
Последние наблюдаемые атаки с использованием ShellBot устанавливают вредоносное ПО, используя шестнадцатеричные IP-адреса. Например, канал связи создаётся для IP-адреса «hxxp://0x2763da4e/», что соответствует адресу «hxxp://39.99.218.78».
Такой способ подключения работает корректно и не вызывает обнаружений, из чего можно сделать вывод, что к подобному ухищрению хакеры пришли намеренно для обхода детектирования на основе URL.
ASEC подчёркивает: «Благодаря использованию curl для загрузки и его возможности поддерживать шестнадцатеричные адреса, аналогично веб-браузерам, ShellBot может быть успешно загружен в среде Linux и выполнен через Perl».
Подобное развитие вредоноса является признаком того, что ShellBot продолжает активно использоваться для кибернападений на Linux-системы. А так как ShellBot может использоваться для установки дополнительного вредоносного ПО или запуска различных типов атак со скомпрометированного сервера, рекомендуется использовать надёжные пароли и регулярно их менять.
Ранее специалисты ASEC Для просмотра ссылки Войди
Возвращаясь к ShellBot, можно сказать, что рассмотренная кампания является напоминанием о том, что стандартные механизмы обнаружения могут быть с лёгкостью обойдены с помощью уловок злоумышленников, таких как замена классических IP-адресов на шестнадцатеричные значения.
Всё это подчёркивает необходимость постоянного развития отрасли кибербезопасности, повышения внимания к деталям и готовности к адаптации в условиях постоянно меняющегося ландшафта атак.
- Источник новости
- www.securitylab.ru