Botnet Ngioweb

La Ngioweb Botnet es una botnet proxy con dos variantes detectadas en la naturaleza: una que afecta a Windows y otra que se dirige a los sistemas basados en Linux. Si bien la versión de Linux de la amenaza toma prestada una cantidad considerable de código de la otra, tiene varias funcionalidades adicionales. La mayor desviación es la implementación de DGA (Domain Generation Algorithm). El objetivo principal de Ngioweb Botnet es comprometer las computadoras de destino e implantar un proxy de conexión trasera en ellas. La estructura de la botnet implica la agrupación de varios Bots en Pools de Proxy singulares que luego se controlan a través de un proceso de Comando y Control (C&C, C2) de dos niveles.

La Botnet Ngioweb está equipada con varias técnicas anti-análisis diseñadas para obstaculizar cualquier ingeniería inversa de la amenaza. Algunos de ellos implican el uso de una biblioteca de nicho llamada 'musl libc', funciones que se almacenan en una tabla de antemano, una tabla constante utilizada por CRC y AES, Stack String Ofuscation, el proceso C2 de dos etapas mencionado anteriormente y el uso de doble cifrado para la comunicación C2 de segunda etapa.

Después de implementarse en el sistema comprometido, el objetivo de Ngioweb Botnet es iniciar el contacto con el nivel Stage-1 de la infraestructura C2. Para ello, realiza un intento de comunicación cada 73 segundos a un nombre de dominio generado por la DGA. Se establece un límite superior de 300 nombres de dominio. Si se recibe el comando apropiado de la primera etapa C2, Ngioweb Botnet pasa a establecer comunicación con la estructura de nivel superior de los servidores del atacante y la creación de la función Back-Connect Proxy. La comunicación de la etapa 2 se cifra mediante una combinación de XOR y AES. Se descubrió que un total de 24 direcciones IP formaban parte de él.

La variante Linux de Ngioweb Botnet ha logrado infectar un total de 2692 IP. Las víctimas provienen de todo el mundo, pero casi la mitad (1306) son de Estados Unidos. Brasil y Rusia ocupan el segundo y tercer lugar con 156 y 152 IP BOT confirmadas. Casi todas las direcciones IP comprometidas pertenecían a servidores web que tenían instalado WordPress.