Η Microsoft ανακαλύπτει botnet Windows/Linux που χρησιμοποιείται σε επιθέσεις DDoS

[nnn]

Οι ερευνητές της Microsoft ανακάλυψαν ένα υβριδικό botnet Windows-Linux που χρησιμοποιεί μια εξαιρετικά αποτελεσματική τεχνική για να καταρρίπτει διακομιστές του Minecraft και να εκτελεί κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών σε άλλες πλατφόρμες.

Με την ονομασία MCCrash, το botnet μολύνει μηχανήματα Windows και συσκευές που εκτελούν διάφορες διανομές Linux για χρήση σε επιθέσεις DDoS. Μεταξύ των εντολών που δέχεται το λογισμικό του botnet είναι μία που ονομάζεται ATTACK_MCCRASH. Αυτή η εντολή συμπληρώνει το όνομα χρήστη σε μια σελίδα σύνδεσης σε έναν διακομιστή Minecraft με ${env:random payload of specific size:-a}. Η συμβολοσειρά εξαντλεί τους πόρους του διακομιστή και τον κάνει να καταρρεύσει.

"Η χρήση της μεταβλητής env ενεργοποιεί τη χρήση της βιβλιοθήκης Log4j 2, η οποία προκαλεί μη φυσιολογική κατανάλωση πόρων του συστήματος (δεν σχετίζεται με την ευπάθεια Log4Shell), αποδεικνύοντας μια συγκεκριμένη και εξαιρετικά αποτελεσματική μέθοδο DDoS", έγραψαν οι ερευνητές της Microsoft. "Μπορεί να επηρεαστεί ένα ευρύ φάσμα εκδόσεων διακομιστών Minecraft".

Επί του παρόντος, το MCCrash είναι hardcoded για να στοχεύει μόνο την έκδοση 1.12.2 του λογισμικού διακομιστή Minecraft. Η τεχνική επίθεσης, ωστόσο, θα ρίξει τους διακομιστές που τρέχουν τις εκδόσεις 1.7.2 έως 1.18.2, οι οποίες τρέχουν περίπου τους μισούς διακομιστές Minecraft παγκοσμίως. Εάν το κακόβουλο λογισμικό ενημερωθεί ώστε να στοχεύει όλες τις ευάλωτες εκδόσεις, η εμβέλειά του θα μπορούσε να είναι πολύ ευρύτερη. Μια τροποποίηση στην έκδοση 1.19 του διακομιστή Minecraft εμποδίζει την επίθεση να λειτουργήσει.

"Το ευρύ φάσμα των επικίνδυνων διακομιστών Minecraft αναδεικνύει τον αντίκτυπο που θα μπορούσε να έχει αυτό το κακόβουλο λογισμικό αν είχε κωδικοποιηθεί ειδικά για να επηρεάσει εκδόσεις πέραν της 1.12.2", έγραψαν οι ερευνητές της Microsoft. "Η μοναδική ικανότητα αυτής της απειλής να χρησιμοποιεί συσκευές IoT που συχνά δεν παρακολουθούνται ως μέρος του botnet αυξάνει σημαντικά τον αντίκτυπό της και μειώνει τις πιθανότητες εντοπισμού της".

Το αρχικό σημείο μόλυνσης για το MCCrash είναι οι μηχανές Windows που έχουν εγκαταστήσει λογισμικό που υποτίθεται ότι δίνει πειρατικές άδειες χρήσης για το λειτουργικό σύστημα της Microsoft. Ο κώδικας που είναι κρυμμένος στο λογισμικό που έχει ληφθεί κρυφά μολύνει τη συσκευή με κακόβουλο λογισμικό που τελικά εγκαθιστά το malicious.py, ένα σενάριο python που παρέχει την κύρια λογική για το botnet. Στη συνέχεια, οι μολυσμένες συσκευές Windows σαρώνουν το Διαδίκτυο αναζητώντας συσκευές Debian, Ubuntu, CentOS και IoT που δέχονται συνδέσεις SSH.

Όταν βρεθεί, το MCCrash χρησιμοποιεί κοινά προεπιλεγμένα διαπιστευτήρια σύνδεσης σε μια προσπάθεια να εκτελέσει το ίδιο σενάριο malicious.py στη συσκευή Linux. Τόσο οι συσκευές Windows όσο και οι συσκευές Linux αποτελούν στη συνέχεια μέρος ενός botnet που εκτελεί την επίθεση Minecraft καθώς και άλλες μορφές DDoS.

Μια ανάλυση των συσκευών που έχουν μολυνθεί από το MCCrash δείχνει ότι οι περισσότερες από αυτές βρίσκονται στη Ρωσία. Η Microsoft δεν ανέφερε πόσες συσκευές έχουν μολυνθεί. Οι ερευνητές της εταιρείας δήλωσαν ότι πιστεύουν ότι οι διαχειριστές του botnet το χρησιμοποιούν για να πωλούν υπηρεσίες DDoS σε φόρουμ εγκλήματος.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Ars Technica

[aggelis6]

Η 'προσφορά' της Μικρομαλακής στο Linux...

[goldenaura]

Η 'προσφορά' της Μικρομαλακής στο Linux...

Μάλλον δεν καταλάβες το πως δουλεύει το συγκεκριμένο bot.

[Parrot]

Τεράστια συγκίνηση ένιωσα

[StavrosD]

Είναι γνωστό ότι όλα σχεδόν τα crack και keygen κρύβουν κακόβουλο λογισμικό.


Πλέον όταν προσπαθείς να τα εγκαταστήσεις σε αποτρέπει το windows defender και κάθε τυχόν άλλο antivirus. Όταν ο χρήστης απενεργοποιεί τα πάντα επειδή θέλει να γλιτώσει π.χ. τα 6€/μήνα που κάνει το office (και παράλληλα αρνείται πεισματικά να χρησιμοποιήσει openoffice ή libreoffice), ποιος φταίει;