他のボットネットを攻撃するボットネット「Fbot」

2018年9月23日 23:01

小

中

大

印刷

記事提供元:スラド

他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事The Next Webの記事)。

Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。

侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。

FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。 

スラドのコメントを読む | セキュリティセクション | セキュリティ | ボットネット | Android

 関連ストーリー:
WannaCryptの拡散を止めた英国のセキュリティ研究者、別のマルウェアの作者として米国で逮捕 2017年08月05日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
新たなIoTマルウェア「Hajime」が登場 2017年04月27日

※この記事はスラドから提供を受けて配信しています。

関連キーワードマルウェアDoS攻撃ブロックチェーン

「セキュリティ・プライバシー」の写真ニュース

IT・サイエンスの最新ニュース

RSS

もっと見る

主要ニュース

RSS

もっと見る

広告

財経アクセスランキング

広告

SNSツール

RSS

facebook

zaikeishimbun

いいね!

twitter

@zaikei_it

フォロー

google+

Hatena

広告

ピックアップ 注目ニュース