Появился новый класс майнинговых ботов

Каждый день появляются новости о создании нового бота, которые в основном являются копиями друг друга. Тем не менее, исследователи китайской компании по кибербезопасности Qihoo 360 Netlab обнаружили новый тип бота, который использует обратную прокси-службу под названием ngrok для своего сервера полезной нагрузки.

«Этот бот скрывает свой загрузчик и репортер-сервер, используя службу обратного прокси-сервера ngrok, чтобы периодически генерировать большое количество случайных имен субдоменов. Мастер ботнета не контролирует, какие субдомены будут, поскольку субдомены генерируются случайным образом службой ngrok, что в данном случае на самом деле является преимуществом для ботнета », - говорят исследователи.

В принципе, ngrok создает субдомен для хакера, хакер передает субдомен всем зараженным узлам, они подключаются к серверу через домен, а затем переходят к майнингу. Используя этот метод, сложнее отслеживать, где находится сервер полезной нагрузки.

Когда люди не могут найти местоположение сервера, они не могут определить, с кем они должны связаться, или какому поставщику услуг подать жалобы.

    «Эта кампания майнеров и ее деятельность по переключению доменов началась с июня этого года. Имена доменов C2 заменяются в группах периодически, а время жизни каждой группы составляет менее 12 часов », - добавили исследователи.

Хотя это умный способ запустить ботнет, хакеры не в первый раз используют обратные прокси-серверы.

Однажды группа хакеров захватила учетную запись Amazon Web Services Tesla, превратив всю инфраструктуру в одну крупную майнинговую машину. Однако это был не единственный трюк.

В дополнение к компрометации инфраструктуры хостинга Tesla им также удалось создать свой собственный пул интеллектуального анализа и скрыть свой IP-адрес с помощью службы обратного прокси CloudFlare. Этот конкретный шаг помог им избежать использования общественных пулов, которые быстро прекратили бы любую из их деятельности.