他のボットネットを攻撃するボットネット「Fbot」 8
ストーリー by headless
妨害 部門より
妨害 部門より
他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事、
The Next Webの記事)。
Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。
侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。
FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。
Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。
侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。
FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。
次は (スコア:0)
このFbotなる物を削除するボットが出てくる
でその次はそれを削除するボットが出てきて。。。
ボットの完全雇用が生まれる
Code GreenとかCode Blueとか (スコア:0)
そういうのと似た発想ですね。
“Red”に続いて「Code Green」や「Code Blue」が出現,管理者は再確認を (2001/09/19 00:00)
https://tech.nikkeibp.co.jp/it/members/ITPro/SEC_CHECK/20010917/1/ [nikkeibp.co.jp]
Re: (スコア:0)
ほとんど病気ですね
Re: (スコア:0)
vs. F-Secなんとか(スコア:-1, 荒らし)
Re: (スコア:0)
東芝とSHARPが破綻しかけ、NECも死に体な現状、富士通や日立は相対的にはマトモなんじゃなかろうか(業績と社員の能力と待遇が比例するとは限らないけど)
楽しい職場みんなの F2 (スコア:0)
少なくとも、知人のF2社員は楽しい職場だなんてかけらも思ってなかったし、
過労死の危機は感じてたそうだ。
あの頃よりは、少しは持ち直したのかな?
アレよりヒドイ職場も、日本だとあるのかなあ。。。 あるんだろうなあ。
Re: (スコア:0)
下請けへのさかのぼり値引き強要とかの成果ですかね。