Android

Forskere fra University of California fikk kontroll over et velkjent og kraftig nettverk av hackede datamaskiner i 10 dager, og fikk innblikk i hvordan det stjeler personlige og økonomiske data.

Mirai IoT Botnet - Daily Security Byte

Mirai IoT Botnet - Daily Security Byte
Anonim

Forskerne var i stand til å overvåke mer enn 180.000 hacked datamaskiner ved å utnytte en svakhet i kommando- og kontrollnettverket som hackerne brukte til å kontrollere datamaskinene. Det virket bare i 10 dager, til hackerne oppdaterte kommando- og kontrollinstruksjonene, ifølge forskernes 13-siders papir.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Likevel var det nok av et vindu for å se datainnsamlingsstyrken til Torpig / Sinowal. På den korte tiden ble omtrent 70 G bytes data samlet fra hacked datamaskiner.

Forskerne lagret dataene og jobber med rettshåndhevelsesorganer som US Federal Bureau of Investigation, ISPs og til og med US Department of Defense å varsle ofrene. Internett-leverandører har også stengt noen nettsider som ble brukt til å levere nye kommandoer til de hackede maskinene, skrev de.

Torpig / Sinowal kan pilfer brukernavn og passord fra e-postklienter som Outlook, Thunderbird og Eudora samtidig som de samler inn e-postadresser i disse programmene for bruk av spammere. Det kan også samle inn passord fra nettlesere.

Torpig / Sinowal kan infisere en PC hvis en datamaskin besøker et ondsinnet nettsted som er laget for å teste om datamaskinen har upakket programvare, en teknikk som kalles et nedlastingsangrep. Hvis datamaskinen er sårbar, blir et lavt nivå av skadelig programvare kalt en rootkit gled dypt inn i systemet.

Forskerne fant ut at Torpig / Sinowal havner på et system etter at det først er infisert av Mebroot, en rootkit som dukket opp rundt desember 2007.

Mebroot infiserer datamaskinens Master Boot Record (MBR), den første koden en datamaskin ser etter når du starter operativsystemet etter at BIOS kjører.

Mebroot kan også laste ned annen kode til datamaskinen.

Torpig / Sinowal er tilpasset for å hente data når en person besøker visse nettbanker og andre nettsteder. Det er kodet for å svare på mer enn 300 nettsteder, med de mest målrettede som PayPal, Poste Italiane, Capital One, E-Trade og Chase Bank, skriver papiret.

Hvis en person går til et banknettsted, En forfalsket skjema leveres som ser ut til å være en del av det legitime nettstedet, men ber om en rekke data en bank normalt ikke ville kreve, for eksempel en PIN-kode (personlig ID-nummer) eller et kredittkortnummer.

Nettsteder som bruker SSL (Secure Sockets Layer) kryptering er ikke trygt hvis det brukes av en PC med Torpig / Sinowal, siden den skadelige programvaren vil ta tak i informasjon før den er kryptert, skrev forskerne.

Hackere selger vanligvis passord og bankinformasjon på underjordiske fora til andre kriminelle, som prøver å skjule dataene i kontanter. Selv om det er vanskelig å nøyaktig anslå verdien av informasjonen samlet over de ti dagene, kan det være verdt mellom US $ 83 000 til $ 8,3 millioner, sa forskerpapiret.

Det finnes måter å forstyrre botneter som Torpig / Sinowal. Botnetkoden inneholder en algoritme som genererer domenenavn som malware kaller på for nye instruksjoner.

Sikkerhetsingeniører har ofte klart å finne ut disse algoritmene for å forutsi hvilke domener malware vil ringe på og forhåndsregistrere disse domenene for å forstyrre botnet. Det er imidlertid en kostbar prosess. Conficker-ormen kan for eksempel generere opptil 50 000 domenenavn om dagen.

Registrarer, selskaper som selger domeneregistreringer, bør ta en større rolle i samarbeid med sikkerhetssamfunnet, forskerne skrev. Men registratorer har sine egne problemer.

"Med få unntak mangler de ofte ressurser, insentiver eller kultur for å håndtere sikkerhetsproblemer knyttet til deres roller," sa papiret.