Threat Database Botnets Pink Botnet

Pink Botnet

ピンクのボットネットは、過去数年間にinfosecコミュニティによって観察された最大のボットネットの1つです。研究者の調査結果によると、ピンクのボットネットは、ピーク時には、160万台を超えるデバイスに感染し、制御を主張していました。ボットネットのターゲットはChineにあることに注意してください。ほぼ例外なく、侵害されたデバイスの推定90%が国内にあります。ボットネットは、MIPSベースのファイバールーターの脆弱性を悪用することができました。

構造

ボットネットは、攻撃者が侵害されたデバイスを完全に制御できるようにする複雑で堅牢なアーキテクチャに支えられています。必要な構成データの配布と可用性を確保するために、ハッカーはいくつかの異なる手法を採用しています。まず、GITHUBや中国のWebサイトなどのサードパーティサービスを利用しました。

ハイブリッドアーキテクチャのおかげで、Pinkボットネットの構成データもP2P(ピアツーピア)サーバーとC2(コマンドアンドコントロール)サーバーを介して配信されていました。 P2Pメソッドの1つは、P2P-Over-UDP123配布です。脅威の二重の性質により、攻撃者はP2Pに依存して一般的なコマンドを配信できますが、C2ルートは、DDoS攻撃の開始、ユーザーがアクセスしたHTTPサイトへの広告の挿入など、時間に敏感な重要な命令を展開するために予約されています。 NS。

脅迫コマンド

ピンクのボットネットは、ボットマスターからの10を超える着信コマンドを認識して実行することができます。攻撃者の特定の目的に応じて、ボットネットは追加のファイルとペイロードのフェッチ、任意のシステムコマンドの実行、DDoS攻撃の開始、スキャンの実行、自身の更新などを行う可能性があります。ハッカーはマルウェアを使用して、特定のデバイスの詳細(システムタイプ、CPU、システムバージョン、ハードウェア情報、メモリ情報)を収集することもできます。

永続性とベンダーとの戦い

Pinkボットネットの特定の機能により、侵害されたファイバールーターの元のファームウェアをフラッシュし、C2ダウンローダーとそれに付随するブートローダーを含む新しいファームウェアで書き換えることができます。その後、サイバー犯罪者はデバイスを完全に制御できます。これにより、感染したルーターへの不正アクセスを維持することができました。デバイスのベンダーからのいくつかの異なるアプローチに対しても防御しながら、成功しました。結局、ベンダーは、侵害されたルーターにアクセスし、デバッグソフトウェアを分解するか、ユニットを完全に交換するために、専任の技術者を派遣することに頼らざるを得ませんでした。

トレンド

最も見られました

読み込んでいます...