Ботнет Monkif прячет команды в JPEG-файлы - Monkif hides commands in JPEG-files.
Ученые MCAFFEE нашли весьма странный ботнет Monkif, который удивителен по нескольким причинам. В первую очередь, впрочем C&C-серверы ботнетов как правило нередко меняют дислокацию, в этой ситуации командный сервер аж с 2009 г. работает по одному и тому же адресу у шведского интернет-провайдера prq.se (IP-адрес 88.80.7.152).
Во-вторых, ботнет Monkif использует технику стеганографии, чтоб спрятать свои коммуникации от внешнего наблюдателя: в том числе, адреса вредоносной загрузки прячутся внутри файлов JPEG.
Более того, Monkif использует SSL-шифрование коммуникаций с управляющим сервером и имеет собственный SSL-сертификат.
Вот как Monkif маскирует запросы к командному серверу с заражённой машины. Для каждого из них генерируется новое название с зашифрованными параметрами, например:
GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716×5772=70
Researchers McAffee have found out very strange ботнет Monkif which is surprising for the several reasons. First, though C&C-серверы ботнетов usually often change a disposition, in this case the command server already since 2009 works to the same address for the Swedish Internet provider prq.se (88.80.7.152 IP-address).
Secondly, ботнет Monkif uses technics стеганографии to hide the communications from the external observer: in particular, addresses of harmful loading hide in files JPEG. Besides, Monkif uses SSL-enciphering of communications with operating server and has the SSL-certificate. Here is how Monkif masks inquiries to the command server from the infected car. For each of them the new name with the ciphered parametres, for example is generated:
GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716Ч5772=70
Теги:
взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус,антихакер,хакатак,ddos,эксплойт
Комментариев нет:
Отправить комментарий