Threat Database Botnets Ngioweb Botnet

Ngioweb Botnet

Le botnet Ngioweb est un botnet proxy avec deux variantes détectées dans la nature - l'une affectant Windows et l'autre ciblant les systèmes Linux. Alors que la version Linux de la menace emprunte une quantité considérable de code à l'autre, elle possède plusieurs fonctionnalités supplémentaires. L'écart majeur est la mise en œuvre de DGA (Domain Generation Algorithm). L'objectif principal du botnet Ngioweb est de compromettre les ordinateurs ciblés et d'implanter un proxy Back-Connect sur eux. La structure du botnet implique le regroupement de plusieurs robots dans des pools de proxy uniques qui sont ensuite contrôlés via un processus de commande et de contrôle à deux niveaux (C&C, C2).

Le botnet Ngioweb est équipé de plusieurs techniques anti-analyse conçues pour empêcher toute rétro-ingénierie de la menace. Certains d'entre eux impliquent l'utilisation d'une bibliothèque de niche appelée "musl libc'', des fonctions stockées dans une table à l'avance, une table constante utilisée par CRC et AES, Stack String Obfuscation, le processus C2 en deux étapes susmentionné et l'utilisation de double cryptage pour la communication C2 de deuxième étage.

Après avoir été déployé sur le système compromis, l'objectif de Ngioweb Botnet est d'initier le contact avec le niveau Stage-1 de l'infrastructure C2. Pour ce faire, il effectue une tentative de communication toutes les 73 secondes vers un nom de domaine généré par la DGA. Une limite supérieure de 300 noms de domaine est fixée. Si la commande appropriée est reçue du C2 de la première étape, le botnet Ngioweb passe à l'établissement de la communication avec la structure de niveau supérieur des serveurs de l'attaquant et à la création de la fonction Back-Connect Proxy. La communication de l'étape 2 est chiffrée par une combinaison de XOR et AES. Un total de 24 adresses IP ont été découvertes pour en faire partie.

La variante Linux du botnet Ngioweb a réussi à infecter un total de 2692 adresses IP. Les victimes viennent du monde entier, mais près de la moitié - 1306 viennent des États-Unis. Le Brésil et la Russie sont deuxième et troisième avec 156 et 152 IP BOT confirmés. Presque toutes les adresses IP compromises appartenaient à des serveurs Web sur lesquels WordPress était déployé.

Tendance

Le plus regardé

Chargement...