ГлавнаябезопасностьБотнет Matryosh: нацелен на устройства на базе Android для DDoS-атак!

Ботнет Matryosh: нацелен на устройства на базе Android для DDoS-атак!

25 января 2021 года его исследователи 360 netlab заметил подозреваемого файл ELF, который изначально ассоциировал его с Mirai ботнет. Однако после дальнейших исследований они пришли к выводу, что этот файл был связан с новым ботнетом под названием «Матреш». В частности, исследователи отметили в своем соответствующем анализе следующее: «25 января 2021 года сеть 360 обнаружила подозрительный файл ELF как Mirai, но сетевой трафик не соответствует функциям Mirai. Эта аномалия привлекла наше внимание, и после анализа мы решили, что это новый ботнет, который повторно использовал Mirai. рамки«Он распространился через открытые интерфейсы Android Debug Bridge (ADB) и нацеленные на устройства на базе Android, с основной целью выполнения DDoS-атак».

Android Debug Bridge (ADB) - это инструмент командной строки, который позволяет разработчикам взаимодействовать с Android устройство. Команда ADB упрощает выполнение различных действий с устройством, таких как установка и отладка приложений, одновременно обеспечивая доступ в оболочке Unix, которую вы можете использовать для выполнения различных команд на устройстве.

Ботнет Matryosh: нацелен на устройства на базе Android для DDoS-атак!

АБР могут злоупотреблять вредоносных программдля нацеливания на устройства Android через порт 5555. По умолчанию Android отключил параметр Android Debug Bridge (ADB). Однако поставщики часто позволяют ему адаптироваться к операционной системе, таким образом «заражая» устройства, на которых эта функция включена.

Ботнет Matryosh, нацеленный на устройства на базе Android для DDoS-атак, использует сеть Tor, чтобы избежать обнаружения. Кроме того, исследователи отметили, что алгоритм шифрования, применяемый к этому ботнету, и процесс захвата C2 размещены слоями, как русские матрешки. Именно поэтому ботнет получил название «Матреш».

Ботнет Matryosh: нацелен на устройства на базе Android для DDoS-атак!

Они также обнаружили сходство с инструкциями C2, используемыми Мубот, который продолжает быть очень активным в настоящее время.

По данным службы безопасности, ботнет Matryosh изначально расшифровывает удаленное имя хоста. компьютер и использует запрос DNS TXT для получения TOR C2 и прокси TOR, а затем подключается к прокси TOR. Ботнет связывается с TOR C2 через прокси-сервер и ждет заказов от C&C. сервер.

Ботнет Matryosh: нацелен на устройства на базе Android для DDoS-атак!

По словам исследователей, в криптографическом дизайне Matryosh есть некоторые инновации, но он по-прежнему соответствует однобайтовому шаблону XOR Mirai, поэтому он легко выделяется антивирус программное обеспечение как Mirai. Изменения в уровне сетевой связи предполагают, что его создатели хотели реализовать механизм защиты C2 путем передачи конфигурации из облако, что вызовет некоторые трудности при статическом анализе или в простом симуляторе IOC.

Pohackontashttps://www.secnews.gr
Каждое достижение начинается с решения попробовать.
spot_img

ЖИВЫЕ НОВОСТИ