Seculert провела расследование взлома php.net

Seculert провела расследование взлома php.net

Скомпрометировать сайт удалось при помощи набора эксплоитов, состоящего из пяти вредоносных программ.

image

По сообщениям Seculert, сайт php.net был взломан при помощи набора эксплоитов, в который входит пять различных вредоносных программ. Напомним, что атака на php.net проводилась 24 октября текущего года.

Эксперты Seculert провели расследование инцидента безопасности и обнаружили один довольно странный и опасный вид вредоносной программы, который они назвали DGA.Changer. Этот вирус загружает другие вредоносные программы на целевые системы. Специалистам удалось выяснить, что сейчас с командными серверами DGA.Changer связывается около 6500 уникальных IP-адресов, половина из которых зарегистрирована в США.

Вирус использует систему генерации доменных имен для командных серверов (Domain Generation Algorithm), что означает, что каждый бот может получить команду изменить набор доменных имен, к которым он подключается. В связи с этим, вредоносную программу очень тяжело обнаружить, так как боты постоянно подключаются к разным потокам доменных имен.

Непонятным в деятельности DGA.Changer является то, что его боты пока не выполняют никаких вредоносных действий. Они скачивают один вредоносный файл, который отправляет на командный сервер информацию о зараженном компьютере. Вполне вероятно, что машины заражаются для того, чтобы потом их можно было продать.

Точные намерения мошенников пока не удалось вычислить, а поэтому в Seculert продолжают следить за ботнетом.

Более подробно с отчетом компании можно ознакомиться  здесь .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle