揭秘新型僵尸网络Fbot如何消除恶意软件

 DNS （域名系统）

DNS代表域名服务，它是互联网的电话簿。将域名（如amazon.com）映射到IP地址（如123.456.789）的域名系统（DNS）。域名系统通过编号分配机构ICANN和注册服务商进行伪分散治理。虽然不是尽善尽美，但我们必须要赞扬它，作为互联网基础设施的基本，每天有数十亿的人口依靠它使用网络。

一个新的僵尸网络通过其无害行为和原始通信通道与其命令和控制服务器的使用吸引了安全研究人员的注意。

Fbot是Mirai的一种奇特变体，它保留了原始的DDoS模块但似乎没有使用它。这不是最奇怪的事情，因为它目前的目的是搜索受密码恶意软件感染的设备并清理它们。
有安全研究人员发现了这种新菌株，并注意到它在寻找一种名为“com.ufo.miner”的僵尸网络恶意软件，这是一种已知的ADB.Miner变种，可以在Android设备上为Monero开采（智能手机，智能电视，机顶盒）。

Fbot推出了加密恶意软件

Fbot通过扫描具有开放端口5555的设备进行传播，该端口由Android上的ADB（Android Debug Bridge）服务使用，然后通过ADB接口检索脚本。

脚本的一个功能是卸载'com.ufo.miner'恶意软件。另一个是下载主要有效载荷Fbot，其中包含有关联系命令和控制（C2）服务器的详细信息。第三个功能是自毁。

Fbot似乎对先前感染com.ufo.miner的系统产生了积极影响，因为它查找与cryptomining活动相关联的进程（SMI，RIG，XIG）并将其杀死。

躲在区块链后面

根据研究人员的说法，Fbot的制造商为C2服务器选择了一个可通过分散域名系统（DNS）访问的域名，该域名系统通过点对点网络共享域名，使其更难以跟踪和删除。

“C2域名musl.lib不是标准的DNS域名。它的顶级域名.lib没有注册到ICANN，传统的DNS系统无法解决”。

​

域名通过EmerDNS解决，EmerDNS是EmerCoin的基于区块链的DNS - 一个提供来自EMC，COIN，LIB和BAZAR名称空间的域名注册的平台，通过自己的DNS服务器提供这些域名。
EmerCoin现在与OpenNIC达成对等协议，OpenNIC是传统顶级域名注册机构的最大替代方案，用于解析其域名。

“除了传统的DNS之外，使用EmerDNS选择Fbot非常有趣，它提高了安全研究人员查找和跟踪僵尸网络的门槛（如果他们只寻找传统的DNS名称，安全系统将会失败），也会使得更难以下沉C2领域，至少不适用于ICANN成员。”研究人员指出。

Fbot的技术细节很有趣，目前还不清楚这是一个想要摆脱竞争的蠢货还是对手的工作。但是，一些使用的方法可能会越来越受到希望保护其业务的网络犯罪分子的欢迎。目前可以肯定的是，Fbot消除了一个加密恶意软件并取代了受害者系统。

（编译：曲速未来安全区，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）