Ботнет ShellBot использует шестнадцатеричные IP-адреса для уклонения от обнаружения

Злоумышленники, стоящие за ботнетом ShellBot, используют IP-адреса, преобразованные в шестнадцатеричную систему счисления, чтобы проникнуть на уязвимые SSH-серверы Linux и развернуть там вредоносное ПО для проведения DDoS-атак.

В новом отчёте , опубликованном сегодня специалистами AhnLab Security (ASEC), говорится: «Общий порядок действий хакеров остаётся прежним, но вот URL-адрес загрузки, используемый атакующими для установки ShellBot, изменился с обычного IP-адреса на шестнадцатеричное значение».

ShellBot, также известный как PerlBot, нарушает безопасность серверов со слабыми SSH-данными посредством атаки по словарю. Этот вредоносный код используется для организации DDoS-атак и доставки майнеров криптовалют.

Разработанный на Perl, вредоносный код ботнета использует протокол IRC для связи с C2-сервером управления и контроля.

Последние наблюдаемые атаки с использованием ShellBot устанавливают вредоносное ПО, используя шестнадцатеричные IP-адреса. Например, канал связи создаётся для IP-адреса «hxxp://0x2763da4e/», что соответствует адресу «hxxp://39.99.218.78».

Такой способ подключения работает корректно и не вызывает обнаружений, из чего можно сделать вывод, что к подобному ухищрению хакеры пришли намеренно для обхода детектирования на основе URL.

ASEC подчёркивает: «Благодаря использованию curl для загрузки и его возможности поддерживать шестнадцатеричные адреса, аналогично веб-браузерам, ShellBot может быть успешно загружен в среде Linux и выполнен через Perl».

Подобное развитие вредоноса является признаком того, что ShellBot продолжает активно использоваться для кибернападений на Linux-системы. А так как ShellBot может использоваться для установки дополнительного вредоносного ПО или запуска различных типов атак со скомпрометированного сервера, рекомендуется использовать надёжные пароли и регулярно их менять.

Ранее специалисты ASEC раскрыли вредоносную операцию с использованием нестандартных сертификатов с необычно длинными строками для полей «Имя субъекта» и «Имя издателя» для распространения вредоносного ПО, предназначенного для кражи информации — Lumma Stealer и RecordBreaker.

Возвращаясь к ShellBot, можно сказать, что рассмотренная кампания является напоминанием о том, что стандартные механизмы обнаружения могут быть с лёгкостью обойдены с помощью уловок злоумышленников, таких как замена классических IP-адресов на шестнадцатеричные значения.

Всё это подчёркивает необходимость постоянного развития отрасли кибербезопасности, повышения внимания к деталям и готовности к адаптации в условиях постоянно меняющегося ландшафта атак.