Как аналитик по вопросам безопасности на большом MSSP и кто-то, кто очень активен в Info-с, я могу, конечно, проверить, что многие из этих ботнетов в существовании, и мы поймали довольно много из них. Zeroaccess является бароном BTC в ботнет мире в настоящее время из-за его толкнул почти каждый очень в курсе Exploit Kit вокруг сегодня и быть чрезвычайно трудно отследить, а также удалить.

Для тех, кто знаком с эксплойтов, не стесняйтесь, чтобы пропустить этот пункт:
Эксплойтов служат многочисленные эксплоиты для пользователя при посещении сайта с использованием последних подвигов, которые нацелены на Java, Adobe Flash, Reader, Firefox, Internet Explorer и Windows, в общем, вы можете прочитать о них здесь, https://krebsonsecurity.com/?s=exploit+kit&х = 0&у = 0 Просто прокрутите вниз последние новости на эксплойты, создатели позади них и арсенал эксплоитов они будут использовать против вас, чтобы установить их деструктивные. Голая безопасность идет больше в ZeroAccess углубленного здесь http://nakedsecurity.sophos.com/2012/06/06/zeroaccess-rootkit-usermode/ и статья Софо на ZeroAccess и добычи полезных ископаемых http://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/Sophos_ZeroAccess_Botnet.pdf .


Теперь в стороне от тех, использующих ZeroAccess у нас есть множество других черных шляпах, использующие другие типы бот с Bitcoin добычи полезных данных наряду с их кейлоггер-х, форма хапуг, ACH транзакции браузера MITM установок и любых других плагинов или полезных нагрузок они решили добавить. Многие из ботнетов Bitcoin мы нашли будет использовать SSH, RDP и VNC сканеры когда они ставят под угрозу хозяина, который проверяет наличие несколько основных имен учетных записей и паролей при сканировании нескольких жертв.

Парень коллега в инфо-сек работает сайт, в котором он разбирает эти ботнета и сообщения их детали, такие как шлюзы, командования и управления серверами она использует, Bitcoin добыча информации и целевых страниц. Если вы просматриваете сайт @ exposedbotnets.com и пройти через несколько постов вы столкнетесь детали, как те, наклеенных ниже которого он блестел от своих небезопасных ботнет установок. Я только разрешено отправлять публично о них я ловлю с помощью собственного Honeypot / HoneyClient дома, а не многочисленные те, которые мы нашли на работе.
Не говоря уже о том, что большинство операторов ботнетов получили достаточно умна, чтобы прокси-сервер трафик обратно к майнинг Имейте в виду, я извлекал какую-либо информацию о целевых страницах ботнета или инфекции векторов просто некоторые Bitcoin информация недавно блестели и да я сделал звезду **** расовой пятно для одного из этих имен г-мешки рабочих.

Ботнет Сервер: zeonyx

Некоторые горнодобывающие Bitcoin информация о:
Http: // Slinky: abc123@pool.bitclockers.com: 8332
Http: // Zeroexe7_Zero8: п***** 1@eu.triplemining.com: 8344
Http: // Zeroexe7_Indian: п***** 1@us2.eclipsemc.com: 8337


Ботнет Сервер: gwassnet

Я собираюсь предположить, что это тот же самый парень, как и другой gwass домен.
Кроме того, Bitcoin горнорудной информации: Http: // Hung: 28787@pool.bitclockers.com: 8332

Лично мы видели много используя 50btc, bitclockers и перечисленные выше.

Id любят знать, если кто-то, кто имеет опыт работы пула может помочь мне подумать о том, чтобы разыскать горнодобывающей деятельности, связанных с ботнет и найти способ, чтобы остановить его. И да я знаю, когда СИС фея приходит и благословляет все нас новые станки этого обыкновения быть проблемой, за исключением многих из более сложных образцов мы находящие и не в состоянии отслеживать обратно в пул использует добычу GPU, а также с некоторым кодом, похоже, что это, возможно, было заимствовано у клиента bitminter.

Так как я уже говорил ранее, если какие-либо операторы пула есть предложения по отслеживанию этих вредоносных ботнетов BTC с помощью других методов, не стесняйтесь стрелять мне в ПМ.

Благодаря,
detro