มัลแวร์ WireX DDoS อัปเกรดด้วยความสามารถ UDP ฟลัด

บ็อตเน็ต WireX ใช้ความพยายามร่วมกันของนักวิจัยด้านความปลอดภัยและผู้ขายเพื่อก้าวไปข้างหน้าก่อนหน้านี้ แต่ผู้สร้างมัลแวร์ที่ใช้ในการกดขี่พีซีในเครือข่ายกลับมาแล้วและเพิ่ม WireX คลังแสง

ในเดือนสิงหาคม นักวิจัยจาก Akamai, CloudFlare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru และอื่นๆ เข้าร่วมกองกำลัง เพื่อตัดตอนบ็อตเน็ต WireX ซึ่งค้นพบเนื่องจากการโจมตีแบบกำหนดเป้าหมายต่อผู้สร้างเนื้อหาและเครือข่ายการจัดส่งเนื้อหา (CDN)

บ็อตเน็ตจะควบคุมอุปกรณ์เคลื่อนที่ที่ติดไวรัส และในลักษณะดั้งเดิมของบ็อตเน็ต จะใช้ศูนย์คำสั่งและการควบคุม (C&C) เพื่อออกคำสั่ง

ผู้ดำเนินการสามารถบังคับอุปกรณ์ทาสให้ท่วมโดเมนเว็บและบริการด้วยการรับส่งข้อมูลที่ผิดกฎหมายโดยไม่ได้รับความยินยอมจากเจ้าของ นำไปสู่การโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายซึ่งสามารถขัดขวางบริการและป้องกันไม่ให้การรับส่งข้อมูลที่ถูกต้องตามกฎหมายเข้าถึงได้ ปลายทาง.

เมื่อเดือนที่แล้ว Google ค้นพบมัลแวร์เล็ดลอดผ่านเน็ตและถูกซ่อนอยู่ในแอปที่โฮสต์บน Play Store แอปหลายร้อยแอปถูกลบออกอย่างรวดเร็ว แต่บอตเน็ตได้ก่อตัวขึ้นแล้ว

มีการโจมตีเล็กๆ น้อยๆ หลายครั้งเกิดขึ้น แต่จนกระทั่งวันที่ 17 สิงหาคม นักวิจัยจึงได้รับทราบถึง WireX จริงๆ ในวันนี้ บ็อตเน็ตได้โจมตีด้วยที่อยู่ IP พร้อมกันอย่างน้อย 70,000 รายการ โดยมีอุปกรณ์ในกว่า 100 ประเทศถูกบุกรุก

ในเวลานั้น นักวิจัยเชื่อว่ามัลแวร์ยังอยู่ในช่วงเริ่มต้นของการพัฒนา และดูเหมือนว่าการคาดการณ์นี้จะเป็นจริงด้วยฟังก์ชันใหม่ๆ ที่จะเกิดขึ้นเร็วๆ นี้

สัปดาห์นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ F5 กล่าวว่าทีมรักษาความปลอดภัยของบริษัทได้ค้นพบ Thingbot ตัวใหม่ ซึ่งเป็นบอตเน็ตของอุปกรณ์เคลื่อนที่และ Internet of Things (IoT) ที่ถูกบุกรุก ไปยัง WireX

ในโพสต์บล็อกนักวิจัยกล่าวว่าพวกเขาได้พบตัวแปรที่นอกเหนือจากความสามารถในการฟลัด HTTP เดิมที่ใช้สำหรับการโจมตี DDoS ในเดือนสิงหาคมแล้ว รองรับการฟลัด UDP ซึ่งเป็นการโจมตี DoS ประเภทหนึ่งซึ่งกำหนดเป้าหมายพอร์ตสุ่มบนโฮสต์เหยื่อด้วยแพ็กเก็ต IP ที่มีแพ็กเก็ต User Datagram Protocol (UDP)

ทีมวิเคราะห์บอทที่ใช้มัลแวร์ซึ่งมี 50 เธรด ซึ่งแต่ละเธรดสามารถส่งแพ็กเก็ต UDP ขนาด 512 ไบต์ได้ 10 ล้านแพ็กเก็ต

“เช่นเดียวกับใน GET Flood บอทจะเรียกดูคำสั่งเฉพาะและควบคุม (C&C) URL (ในกรณีนี้คือ "u.axclick.store") เพื่อรับรายละเอียดของเป้าหมายการโจมตี" F5 อธิบาย "การตอบสนองรวมถึงโดเมนเป้าหมายและพอร์ตใน "ชื่อ" HTML ซึ่งคั่นด้วยสตริง "snewxwri" คงที่ซึ่งคล้ายกับคำสั่ง GET Flood"

เมื่อแอปพลิเคชันเปิดตัว มัลแวร์จะเปิดเบราว์เซอร์เริ่มต้นของ Android 10 ครั้ง ซึ่งเลียนแบบฟังก์ชันการคลิกฉ้อโกง และอาจพัฒนาเป็นแบบนั้นในมัลแวร์เวอร์ชันต่อๆ ไป

สำหรับมัลแวร์ที่ใช้ DDoS ส่วนใหญ่ มักจะมีคำสั่งสองคำสั่งที่ถูกส่งพร้อมกันเพื่อรักษากระแสแพ็กเก็ต อันหนึ่งจะลิงก์ไปยังเซิร์ฟเวอร์ C&C เพื่อรับคำสั่ง ในขณะที่อีกอันดำเนินการลูปการส่งแพ็กเก็ต

ดูเหมือนว่ามัลแวร์สายพันธุ์ WireX จะไม่รองรับสิ่งนี้ แทนที่จะขอระยะเวลาการโจมตีจากเซิร์ฟเวอร์ C&C WireX จะต้องขอข้อมูลนี้อย่างต่อเนื่อง

อย่างไรก็ตาม มัลแวร์ดังกล่าวดูเหมือนว่าจะมีการติดตั้งที่ดีขึ้นในขณะนี้ และยังคง "ยังคงมีการพัฒนา" ตามที่ทีมงานระบุ ขณะนี้โค้ดที่เป็นอันตรายมีฟังก์ชันการทำงานเหมือนเบราว์เซอร์และการต้านทานองค์ประกอบต่างๆ เช่น การสนับสนุนคุกกี้ การเปลี่ยนเส้นทาง และ JavaScript

“เมื่อเปรียบเทียบฟังก์ชันการทำงานของ WireX DDoS และรูปแบบการทำงานกับมัลแวร์ DDoS อื่นๆ ของ Windows และ Linux สำหรับครอบครัว แต่ก็ยังมีวิธีค่อนข้างมากที่จะเติบโตเป็นบอต DDoS ที่มีประสิทธิภาพและเต็มรูปแบบ" นักวิจัย พูด. “ดูเหมือนว่ามัลแวร์ WireX ยังคงอยู่ในช่วง QA โดยตัดสินจากตัวแปรที่แตกต่างกันเล็กน้อยในป่าและประเภทการโจมตีและฟังก์ชันที่จำกัดที่มีให้ในปัจจุบัน”

ความคุ้มครองก่อนหน้าและที่เกี่ยวข้อง

มัลแวร์ธนาคาร Android นี้ขโมยข้อมูลโดยใช้ประโยชน์จากบริการการเข้าถึงสมาร์ทโฟน

มัลแวร์ Svpeng ที่ฉาวโฉ่ใช้ประโยชน์จากฟังก์ชัน Android ที่ออกแบบมาเพื่อช่วยให้ผู้พิการใช้โทรศัพท์ของตนได้

DreamHost โฮสต์เว็บของไซต์ที่มีการโต้เถียง ถูกโจมตีโดย DDoS

ไม่กี่วันหลังจากที่กระทรวงยุติธรรมเรียกร้องข้อมูลผู้เยี่ยมชมสำหรับเว็บไซต์ต่อต้านทรัมป์ บริษัทโฮสต์เว็บ DreamHost ก็ตกอยู่ในสถานะถูกโจมตีโดยปฏิเสธการให้บริการแบบกระจาย บริษัทยังได้รับรายงานว่าจะเป็นเจ้าภาพเวอร์ชันใหม่ของเว็บไซต์นาซี นั่นคือ Daily Stormer

ผู้ถูกกล่าวหาว่าโจมตีบอทเน็ต Mirai ถูกบังคับให้กลับไปยังชายฝั่งอังกฤษ

ผู้ถูกกล่าวหาว่าเป็นผู้บงการเบื้องหลังการโจมตีลอยด์สและบาร์เคลย์สถูกส่งตัวกลับสหราชอาณาจักรแล้ว