Avalanche botnet


2017. január 12. 08:05

CH azonosító

CH-13835

Angol cím

Avalanche botnet

Felfedezés dátuma

2017.01.11.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft windows

Összefoglaló

“Avalanche” alatt egy kiterjedt botnet infrastruktúrát értünk, amelyet a kiberbűnözők jellemzően különböző adathalász és malware kampányok terjesztésére, illetve pénzmosással összefüggésbe hozható, ún. “öszvér toborzás” tevékenységek lebonyolítására, valamint elosztott szolgáltatásmegtagadást okozó támadások (DDoS) kivitelezésére használnak. 

Leírás

A támadás általában az érintett rendszereken elérhető érzékeny (pl. banki) adatok megszerzésére, zsarolóvírus bejuttatására és a fertőzött host botnetbe kapcsolására irányul.

A US-CERT információi szerint az alábbi malware családok terjesztését lehet összefüggésbe hozni az Avalanche botnettel:

  • Windows-encryption Trojan horse (WVT) (más néven: Matsnu, Injector, Rannoh, Ransomlock.P)
  • URLzone (más néven: Bebloh)
  • Citadel
  • VM-ZeuS (más néven: KINS)
  • Bugat (más néven: Feodo, Geodo, Cridex, Dridex, Emotet)
  • newGOZ (más néven: GameOverZeuS)
  • Tinba (más néven: TinyBanker)
  • Nymaim/GozNym
  • Vawtrak (más néven: Neverquest)
  • Marcher
  • Pandabanker
  • Ranbyus
  • Smart App
  • TeslaCrypt
  • iBanking Trusteer App Trojan
  • Xswkit

Több ismert botnet számára nyújt “szolgáltatást”, fejlett, ún. fast-flux DNS technikát alkalmazva a fertőzött hostokat proxy-ként használva képes elrejteni a kommunikációt, jelentősen megnehezítve a vezérlőszerverek felderítését.

  • TeslaCrypt
  • Nymaim
  • Corebot
  • GetTiny
  • Matsnu
  • Rovnix
  • Urlzone
  • QakBot (más néven: Qbot, PinkSlip Bot)

Megoldás

Az Avira biztonsági cég ingyenes termékével (Avira PC Cleaner) detektálható és eltávolítható a fertőzés. A későbbi hasonló fertőzések elkerülése érdekében használjon naprakész vírusírtót, tűzfalat, valamint rendszeresen végezzen fájlrendszer ellenőrzést.

További szoftverek, amelyek segítségül szolgálhatnak az eltávolításban: 

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Ransomware
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.us-cert.gov
Egyéb referencia: konzuliszolgalat.kormany.hu
Egyéb referencia: tech.cert-hungary.hu
halozatok

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »