Avalanche botnet


2017. január 12. 08:05

CH azonosító

CH-13835

Angol cím

Avalanche botnet

Felfedezés dátuma

2017.01.11.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft windows

Összefoglaló

“Avalanche” alatt egy kiterjedt botnet infrastruktúrát értünk, amelyet a kiberbűnözők jellemzően különböző adathalász és malware kampányok terjesztésére, illetve pénzmosással összefüggésbe hozható, ún. “öszvér toborzás” tevékenységek lebonyolítására, valamint elosztott szolgáltatásmegtagadást okozó támadások (DDoS) kivitelezésére használnak. 

Leírás

A támadás általában az érintett rendszereken elérhető érzékeny (pl. banki) adatok megszerzésére, zsarolóvírus bejuttatására és a fertőzött host botnetbe kapcsolására irányul.

A US-CERT információi szerint az alábbi malware családok terjesztését lehet összefüggésbe hozni az Avalanche botnettel:

  • Windows-encryption Trojan horse (WVT) (más néven: Matsnu, Injector, Rannoh, Ransomlock.P)
  • URLzone (más néven: Bebloh)
  • Citadel
  • VM-ZeuS (más néven: KINS)
  • Bugat (más néven: Feodo, Geodo, Cridex, Dridex, Emotet)
  • newGOZ (más néven: GameOverZeuS)
  • Tinba (más néven: TinyBanker)
  • Nymaim/GozNym
  • Vawtrak (más néven: Neverquest)
  • Marcher
  • Pandabanker
  • Ranbyus
  • Smart App
  • TeslaCrypt
  • iBanking Trusteer App Trojan
  • Xswkit

Több ismert botnet számára nyújt “szolgáltatást”, fejlett, ún. fast-flux DNS technikát alkalmazva a fertőzött hostokat proxy-ként használva képes elrejteni a kommunikációt, jelentősen megnehezítve a vezérlőszerverek felderítését.

  • TeslaCrypt
  • Nymaim
  • Corebot
  • GetTiny
  • Matsnu
  • Rovnix
  • Urlzone
  • QakBot (más néven: Qbot, PinkSlip Bot)

Megoldás

Az Avira biztonsági cég ingyenes termékével (Avira PC Cleaner) detektálható és eltávolítható a fertőzés. A későbbi hasonló fertőzések elkerülése érdekében használjon naprakész vírusírtót, tűzfalat, valamint rendszeresen végezzen fájlrendszer ellenőrzést.

További szoftverek, amelyek segítségül szolgálhatnak az eltávolításban: 

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Information disclosure (Információ/adat szivárgás)
Ransomware
Security bypass (Biztonsági szabályok megkerülése)
Trójai
backdoor

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.us-cert.gov
Egyéb referencia: konzuliszolgalat.kormany.hu
Egyéb referencia: tech.cert-hungary.hu
halozatok

Legfrissebb sérülékenységek
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
CVE-2024-51818 – Fancy Product Designer SQL injection sérülékenysége
CVE-2024-51919 – Fancy Product Designer ellenőrizetlen fájlfeltöltési sérülékenysége
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
Tovább a sérülékenységekhez »