Botnet leger kispus med malware-jægere via reverse proxy

Illustration: Bitdefender
En reverse proxy-løsning har gjort det vanskeligere at få botnet ned med nakken, rapporterer sikkerhedsfirma.

Mange botnets ligner hinanden, men en gang imellem er der alligevel et, der skiller sig ud.

Det fortæller ZDNet, som har fået øje på en beretning fra det kinesiske sikkerhedsfirma Qihoo 360.

Firmaet har spottet et botnet til kryptomining. Det vil sige, at inficerede klienter bidrager med processorkraft til at udvinde kryptovaluta for personen eller personerne bag.

Det er nu ikke kryptominingsdelen, der er det bemærkelsesværdige ved botnettet, men den måde, kommunikationen i nettet fungerer på.

Botter - altså de malware-inficerede klienter - kobler typisk op til en command & control-server. C&C-serveren bliver brugt af bagmændene til at fjernstyre botterne med. Eksempelvis 'udfør DDoS-angreb mod ip x.x.x.x'.

Reverse proxy

Netlab ved Qihoo har imidlertid opdaget et botnet, der i stedet for at forbinde direkte til en C&C-server kommunikerer via en reverse proxy-løsning.

Nærmere bestemt er der tale om tjenesten ngrok.com, som gør det muligt for brugere på internettet at koble sig til servere, der ellers ligger bag en firewall eller på maskiner, der ikke har en offentlig ip-adresse.

Ifølge ZDNets udlægning er tjenesten populær blandt virksomheder, fordi ansatte på den måde kan koble op til en organisations intranet. Tjenesten bliver efter sigende også brugt af freelance-udviklere til at give kunder adgang til at se, hvordan udviklingen af applikationer forløber.

Som regel fungerer ngrok ifølge ZDnet ved, at en bruger hoster en server på en lokal maskine. Brugeren registrerer sig herefter ved ngrok og bliver tildelt en offentligt tilgængelig url med følgende format: [tilfældig_streng].ngrok.io

Url'en kan så deles med eksempelvis en kunde.

Midlertidige adresser

Hvad føromtalte botnet angår, så har personen eller personerne bag ifølge Hui Wang fra Netlab lagt deres C&C-server bag ngrok. Så de inficerede klienter har altså kommunikeret med en ngrok-adresse og ikke direkte med C&C-serveren.

Udover at give folkene bag en vis anonymitet så skulle det også gøre det vanskeligere for sikkerhedsforskere at lukke ned for botnettet.

Det skyldes ifølge Hui, at ngrok-urlen højst er tilgængelig i 12 timer, hvorefter den aktive ngrok-C&C-url skifter til en ny adresse.

ZDnet fortæller, at sikkerhedsforskere normalt kan pille et botnet ned, ved at anmelde kommunikationen til et specifikt c&c-domæne for abuse til en udbyder. Men den proces skulle altså være vanskeliggjort i forhold til det pågældende kryptominer-botnet på grund af de skiftende domænenavne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
Michael Bisbjerg

Jeg formoder det har gjort det, og det er gået i vasken.. Men det er vel ikke en nyhed her?

Det ville være nyt hvis et botnet brugte P2P, DHT, eller andre lignende decentraliserede kommunikationsteknikker.. At et botnet kontakter ét domæne (xyz.ngrok.com), eller én ip, eller et sæt af domæner fra en DGA, er meget normalt..

David Nielsen

ngrok kunne vel bare begrænse antallet af unikke ip adresser der kan tilgå en reverse-proxy.
og de er vel heller ikke interesserede i at hoste C&C til botnets.
ser så også ud til at ngrok.com's free mode er begrænset til 40 connections/minute.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder