Avalanche botnet


2017. január 12. 08:05

CH azonosító

CH-13835

Angol cím

Avalanche botnet

Felfedezés dátuma

2017.01.11.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft windows

Összefoglaló

“Avalanche” alatt egy kiterjedt botnet infrastruktúrát értünk, amelyet a kiberbűnözők jellemzően különböző adathalász és malware kampányok terjesztésére, illetve pénzmosással összefüggésbe hozható, ún. “öszvér toborzás” tevékenységek lebonyolítására, valamint elosztott szolgáltatásmegtagadást okozó támadások (DDoS) kivitelezésére használnak. 

Leírás

A támadás általában az érintett rendszereken elérhető érzékeny (pl. banki) adatok megszerzésére, zsarolóvírus bejuttatására és a fertőzött host botnetbe kapcsolására irányul.

A US-CERT információi szerint az alábbi malware családok terjesztését lehet összefüggésbe hozni az Avalanche botnettel:

  • Windows-encryption Trojan horse (WVT) (más néven: Matsnu, Injector, Rannoh, Ransomlock.P)
  • URLzone (más néven: Bebloh)
  • Citadel
  • VM-ZeuS (más néven: KINS)
  • Bugat (más néven: Feodo, Geodo, Cridex, Dridex, Emotet)
  • newGOZ (más néven: GameOverZeuS)
  • Tinba (más néven: TinyBanker)
  • Nymaim/GozNym
  • Vawtrak (más néven: Neverquest)
  • Marcher
  • Pandabanker
  • Ranbyus
  • Smart App
  • TeslaCrypt
  • iBanking Trusteer App Trojan
  • Xswkit

Több ismert botnet számára nyújt “szolgáltatást”, fejlett, ún. fast-flux DNS technikát alkalmazva a fertőzött hostokat proxy-ként használva képes elrejteni a kommunikációt, jelentősen megnehezítve a vezérlőszerverek felderítését.

  • TeslaCrypt
  • Nymaim
  • Corebot
  • GetTiny
  • Matsnu
  • Rovnix
  • Urlzone
  • QakBot (más néven: Qbot, PinkSlip Bot)

Megoldás

Az Avira biztonsági cég ingyenes termékével (Avira PC Cleaner) detektálható és eltávolítható a fertőzés. A későbbi hasonló fertőzések elkerülése érdekében használjon naprakész vírusírtót, tűzfalat, valamint rendszeresen végezzen fájlrendszer ellenőrzést.

További szoftverek, amelyek segítségül szolgálhatnak az eltávolításban: 

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Ransomware
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.us-cert.gov
Egyéb referencia: konzuliszolgalat.kormany.hu
Egyéb referencia: tech.cert-hungary.hu
halozatok

Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »