DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Botnet Orchard có chiêu trò mới để tạo tên miền độc hại
Mạng botnet mới có tên Orchard sử dụng thông tin giao dịch tài khoản của người sáng lập Bitcoin Satoshi Nakamoto để tạo các tên miền với mục đích che giấu máy chủ C2.
Các nhà nghiên cứu từ nhóm an ninh Netlab của Qihoo 360 cho biết: "Do tính không chắc chắn của các giao dịch Bitcoin, việc tạo ra các tên miền dựa trên các giao dịch Bitcoin rất khó để dự đoán, và do đó khó để phát hiện và ngăn chặn hơn".
Orchard được cho là đã trải qua ba lần sửa đổi kể từ tháng 2 năm 2021. Botnet này chủ yếu được sử dụng để phát tán các mã độc bổ sung lên máy của nạn nhân và thực hiện các lệnh nhận được từ máy chủ C2.
Mạng botnet cũng có chức năng đánh cắp thông tin thiết bị và thông tin người dùng cũng như lây nhiễm các thiết bị lưu trữ USB để phát tán phần mềm độc hại. Phân tích của Netlab cho thấy đã có hơn 3.000 máy tính nằm trong mạng botnet, chủ yếu ở Trung Quốc.
Orchard nhiều lần thực hiện việc cập nhật mã trong một năm qua, một trong số đó liên quan đến việc sử dụng Golang để triển khai mã độc, trước khi quay trở lại sử dụng C ++ trong lần thứ ba.
Phiên bản mới nhất tích hợp các tính năng khởi chạy XMRig để khai thác Monero (XMR) bằng cách sử dụng tài nguyên của hệ thống của các thiết bị nằm trong mạng botnet.
Một thay đổi khác liên quan đến việc sử dụng thuật toán DGA được triển khai trong các cuộc tấn công. Trong khi hai biến thể đầu tiên chỉ dựa vào thông tin của chuỗi ngày tháng, thì phiên bản mới sử dụng thông tin số dư thu được từ địa chỉ ví tiền điện tử "1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa" để tạo tên miền.
Địa chỉ ví là địa chỉ nhận phần thưởng của thợ đào Bitcoin Genesis Block, từ ngày 3 tháng 1 năm 2009 và được cho là do Nakamoto nắm giữ.
Các nhà nghiên cứu cho biết: "Trong hơn một thập kỷ qua, một lượng nhỏ bitcoin đã được chuyển vào ví của Nakamoto hàng ngày vì nhiều lý do khác nhau, vì vậy nó có thể thay đổi và sự thay đổi đó rất khó dự đoán, dẫn đến thông tin số dư cho ví này cũng có thể được sử dụng như tham số đầu vào của DGA".
Các nhà nghiên cứu từ nhóm an ninh Netlab của Qihoo 360 cho biết: "Do tính không chắc chắn của các giao dịch Bitcoin, việc tạo ra các tên miền dựa trên các giao dịch Bitcoin rất khó để dự đoán, và do đó khó để phát hiện và ngăn chặn hơn".
Orchard được cho là đã trải qua ba lần sửa đổi kể từ tháng 2 năm 2021. Botnet này chủ yếu được sử dụng để phát tán các mã độc bổ sung lên máy của nạn nhân và thực hiện các lệnh nhận được từ máy chủ C2.
Mạng botnet cũng có chức năng đánh cắp thông tin thiết bị và thông tin người dùng cũng như lây nhiễm các thiết bị lưu trữ USB để phát tán phần mềm độc hại. Phân tích của Netlab cho thấy đã có hơn 3.000 máy tính nằm trong mạng botnet, chủ yếu ở Trung Quốc.
Orchard nhiều lần thực hiện việc cập nhật mã trong một năm qua, một trong số đó liên quan đến việc sử dụng Golang để triển khai mã độc, trước khi quay trở lại sử dụng C ++ trong lần thứ ba.
Phiên bản mới nhất tích hợp các tính năng khởi chạy XMRig để khai thác Monero (XMR) bằng cách sử dụng tài nguyên của hệ thống của các thiết bị nằm trong mạng botnet.
Một thay đổi khác liên quan đến việc sử dụng thuật toán DGA được triển khai trong các cuộc tấn công. Trong khi hai biến thể đầu tiên chỉ dựa vào thông tin của chuỗi ngày tháng, thì phiên bản mới sử dụng thông tin số dư thu được từ địa chỉ ví tiền điện tử "1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa" để tạo tên miền.
Địa chỉ ví là địa chỉ nhận phần thưởng của thợ đào Bitcoin Genesis Block, từ ngày 3 tháng 1 năm 2009 và được cho là do Nakamoto nắm giữ.
Các nhà nghiên cứu cho biết: "Trong hơn một thập kỷ qua, một lượng nhỏ bitcoin đã được chuyển vào ví của Nakamoto hàng ngày vì nhiều lý do khác nhau, vì vậy nó có thể thay đổi và sự thay đổi đó rất khó dự đoán, dẫn đến thông tin số dư cho ví này cũng có thể được sử dụng như tham số đầu vào của DGA".
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: