Команда Akamai Security Intelligence Response Team (SIRT) обнаружила
новое вредоносное ПО, которое использует SSH-протокол (Secure Shell) для проникновения в целевые системы, чтобы осуществлять майнинг криптовалюты и проводить DDoS-атаки.
Эксперты назвали вредоносное ПО KmsdBot. Оно разработано на основе Golang и нацелено различные компании – от игровых до автомобильных брендов и охранных фирм.
Ботнет заражает системы через SSH-соединение, использующее «слабые» учетные данные для входа в систему. KmsdBot не остается постоянным в зараженной системе, чтобы избежать обнаружения.
Вредоносное ПО получило свое название от исполняемого файла «kmsd.exe», который загружается с удаленного сервера после успешной компрометации. Он также предназначен для поддержки нескольких архитектур — Winx86, Arm64, mips64 и x86_64.
KmsdBot может выполнять операции сканирования и самораспространения, загружая список комбинаций имени пользователя и пароля. Ботнет также умеет контролировать процессы майнинга и обновления вредоносного ПО.
По словам Akamai, первой обнаруженной целью KmsdBot была игровая компания FiveM, многопользовательский мод для GTA V, который позволяет игрокам получать доступ к пользовательским ролевым серверам.
DDoS-атаки Ботнет — это совокупность подключенных к Интернету устройств, которые могут включать персональные компьютеры (ПК), серверы, мобильные устройства и устройства Интернета вещей (IoT) , которые заражены и контролируются вредоносного ПО без ведома их владельца.
» data-html=»true» data-original-title=»Ботнет»>ботнета включают атаки 4-го и 7-го уровней OSI , при которых отправляется поток запросов Transmission Control Protocol (TCP, протокол управления передачей) – один из основных сетевых протоколов Интернета, который базируется на протоколе IP для доставки пакетов данных. В отличие от IP, TCP – это надежный протокол. Он обеспечивает надежную доставку данных, так как предусматривает установление логического соединения, и в случае потери данных организует повторную передачу. Он гарантирует, что приложение получит данные в точно такой же последовательности, в какой они были отправлены.
Механизм действия протокола можно разделить на три части: установка соединения, передача данных и завершение соединения.
TCP делит потоки данных на так называемые TCP-сегменты, и передает их с помощью IP-протокола. Каждый TCP-сегмент пересылается в одной IP-дейтаграмме. Так как IP не гарантирует, что дейтаграммы будут получены в той же самой последовательности, в которой они были отправлены, TCP осуществляет повторную «сборку» TCP-сегментов на другом конце маршрута, с целью образования непрерывного потока данных. FTP и telnet – это два попуряных приложения, которые используют TCP.
» data-html=»true» data-original-title=»TCP»>TCP, UDP (User Datagram Protocol – протокол пользовательских дейтаграмм) – это транспортный протокол для передачи блоков данных (дейтаграмм) в сетях IP без установления соединения.
Протокол UDP обеспечивает доставку дейтограмм, но не требует подтверждения их получения. Передача дейтаграмм осуществляется без соединения с удаленным модулем UDP. Протокол UDP добавляет к заголовку IP-пакета поля порт отправителя и порт получателя, а также поля длина UDP-дейтограммы и контрольная сумма, которые позволяют поддерживать целостность данных. Таким образом, в отличие от IP протокола, который для определения места доставки дейтаграмм использует адрес, UDP использует номер порта.
UDP используется при передаче потокового видео, игр реального времени и некоторых других типов данных.
Протокол UDP считается ненадежным, потому что в случаях сбоев, он не предусматривает стандартного механизма повторения передачи потерянных данных.