Les maîtres du botnet derrière le botnet Asprox ont récemment commencé à injecter du code SQL dans des domaines malveillants à flux rapide. afin de bénéficier d'un avantage tactique décent pour tenter d'augmenter la capacité de survie des malveillants campagne. J'ai évalué le botnet Asprox pour la première fois en janvier, puis à nouveau en avril lorsqu'il a commencé à se développer et à se développer. diversifiant ses campagnes, des fausses mises à jour Windows aux fausses cartes virtuelles Yahoo, en passant par les exécutables informations.
Les maîtres du botnet derrière le botnet Asprox ont récemment commencé à injecter via SQL des domaines malveillants à flux rapide dans afin de bénéficier d’un avantage tactique décent pour tenter d’augmenter la capacité de survie de la campagne malveillante. J'ai d'abord évalué le botnet Asprox en janvier, puis de nouveau en avril, lorsqu'elle a commencé à étendre et à diversifier ses campagnes, des fausses mises à jour Windows à fausses cartes virtuelles Yahoo
, ainsi que actualités exécutables. Un botnet qui élimine les e-mails de phishing et le spam comme d'habitude? Cela dépend de l'élan. Automatiser le processus d'injection SQL d'un grand nombre de sites est une chose, l'injection SQL de domaines à flux rapide en est une tout autre. Commentaires de Secureworks sur l'introduction de l'outil d'injection SQL au sein du botnet:"Hier, nous avons observé le botnet Asprox envoyant une mise à jour aux systèmes infectés, un binaire portant le nom de fichier msscntr32.exe. L'exécutable est installé en tant que service système sous le nom de « Microsoft Security Center Extension », mais en réalité il s'agit d'un outil d'attaque par injection SQL. Une fois lancé, l'outil d'attaque recherchera sur Google les pages .asp contenant divers termes, puis lancera des attaques par injection SQL contre les sites Web renvoyés par la recherche. L'attaque est conçue pour injecter une iframe dans la source du site Web, ce qui obligera les visiteurs à télécharger un fichier javascript à partir du domaine direct84.com. Ce fichier redirige à son tour vers un autre site, où du javascript malveillant supplémentaire peut être trouvé. Actuellement, le site secondaire semble être en panne, mais il est probable qu'en cas de succès, le site tente de exploiter le navigateur Web du visiteur afin d'installer des copies supplémentaires de Danmec, Asprox et/ou de l'attaque SQL outil."
Vient maintenant le flux rapide. La dernière attaque massive par injection SQL, gracieuseté du botnet Asprox, utilise cette fois le bannière82 .com domaine qui continue d'être dans un mode de flux rapide, à savoir, il est hébergé simultanément sur dix adresses IP différentes infectées par des logiciels malveillants, les adresses IP changeant constamment. Illustrons cela en examinant l'évolution des IP répondant au même domaine sur une période de 24 heures:
Le flux rapide a fait l'objet de recherches approfondies dans le cadre du projet Honeynet, dont les recherches sur le sujet illustrent grandement réseaux simple et double flux, le Storm Worm agissant comme une référence personnelle pour la véritable nature dynamique des réseaux à flux rapide. Le fast-flux a été adopté par les parties malveillantes vers le milieu de l'année 2007, lorsque fournisseurs de flux rapides gérés est apparu, et plus encore les domaines de spam et de phishing ont été définis en mode flux rapide. Les domaines injectés par SQL à flux rapide constituent cependant une nouvelle tactique. Vous disposez donc d'un botnet d'hôtes infectés qui analyse et injecte automatiquement les domaines malveillants au sein des domaines vulnérables. les sites Web et les domaines malveillants eux-mêmes font partie d'un réseau à flux rapide fourni par la population infectée du botnet, qui héberge et envoie également le phishing campagnes.
Quel est l’objectif de la dernière attaque par injection SQL lancée par le botnet Asprox? Il infecte de nouveaux hôtes à ajouter au botnet. Bannière82.com a un petit iFrame qui tente de se charger dll64 .com /cgi-bin/index.cgi? administrateur où le kit d'exploitation de logiciels malveillants NeoSploit sert l'exploit d'exécution de code MDAC ActiveX (CVE-2006-0003).
Voici des exemples de serveurs DNS à flux rapide utilisés par bannière82 .com, ainsi qu'un exemple de structure interne à flux rapide utilisée par le botnet:
exporter .net. ns1.exportpe.net. ns2.exportpe.net. ns3.exportpe.net. ns4.exportpe.net. ns5.exportpe.net. ns6.exportpe.net. ns7.exportpe.net. ns8.exportpe.net.
cookie68.com. ns1.cookie68 .com. ns3.cookie68.com. ns4.cookie68.com. ns4.cookie68.com. ns6.cookie68.com. ns7.cookie68.com. ns8.cookie68.com.
ns1.ns2.ns4.ns1.ns7.ns8.ns1.ns4.ns6.ns3 .aspx88.com. ns1.ns2.ns4.ns6.ns7.ns7.ns3.ns2.ns5.ns1 .aspx88.com. ns1.ns2.ns5.ns1.ns7.ns8.ns2.ns5.ns4.ns3 .aspx88.com. ns1.ns1.ns5.ns2.ns7.ns8.ns1.bank11.net. ns1.ns1.ns5.ns2.ns8.ns7.ns4 .bank11.net.
Les captures d'écran parlent d'elles-mêmes et de l'infrastructure qu'ils ont réussi à construire en utilisant les hôtes infectés par des logiciels malveillants. envoyer des escroqueries, héberger les domaines frauduleux, infecter de nouveaux hôtes, rechercher les sites vulnérables, les injecter en SQL et héberger les URL d'exploitation en direct dans. Et avec l'introduction du fast-flux dont l'infrastructure est fournie par la population infectée du botnet, et En automatisant le processus d'injection SQL, le botnet Asprox se transforme peu à peu en une cybercriminalité autonome plate-forme.
Traverser une évaluation connexe si vous souhaitez en savoir plus sur les emplacements géographiques des hôtes infectés utilisés dans un exemple d'attaque par injection SQL, ainsi que sur les commentaires associés sur l'utilisation de botnets pour lancer des attaques par injection SQL.