Im November 21, 2021 Forscher von 360NetLab erhielten eine Stichprobe des bisher größten beobachteten Botnets. Es hat den Namen Pink wegen seiner Funktionen bekommen, die mit dem Wort Pink beginnen. In Spitzenzeiten hatte PinkBot die Kontrolle über 1.6 Millionen Geräte mit den meisten davon (96%) befindet sich in China. Mit einer sehr robusten Architektur zielt es hauptsächlich auf Mips-basierte Glasfaserrouter ab. Botnet verwendet eine Mischung aus Drittanbieterdiensten, P2P und zentrale C2s für seine Bots zur Steuerung der Kommunikation. Mit einer absoluten Überprüfung der C2-Kommunikation stellt es sicher, dass Botnet-Nicks nicht einfach getrennt oder übernommen werden.
Das größte Botnet könnte die Kontrolle über 1.6 Millionen Geräte
Am 30. November, 2019 ungenannter Sicherheitspartner informierte die 360Netlab dass sie entdeckt haben 1,962,308 einzigartige täglich aktive IPs aus diesem Botnet, die sie treffen. Forscher’ Eigene Beobachtung zeigte die Anzahl der 1.65 Million. Die größte Konzentration fand in China statt (96%) sich ausbreiten 33 Provinzen. Zu den betroffenen Mobilfunkanbietern gehört China Telecom (>15%) und China Unicom (>80%).
Aus den in zahlreichen Dimensionen berechneten Daten wie NetFlow-Daten, aktives Sondieren, und Echtzeitüberwachung, die Anzahl der mit diesem Botnet verbundenen Bot-Knoten-IP-Adressen übersteigt 5 Million. Da Heimbreitband-IPs dynamisch zugewiesen werden, die richtige Größe der dahinter liegenden infizierten Geräte lässt sich nicht genau berechnen, und es wird davon ausgegangen, dass die tatsächliche Zahl der infizierten Geräte in die Millionen geht.
“Eine der Hauptgrundlagen der Messung ist, dass die Anzahl der IPs, die in einer Minute mit C2 verbunden waren, weit über einer Million lag,” laut einem Bericht des National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC).
Die PinkBot-Spuren auf Github
Forscher haben den PinkBot bis in den Oktober zurückverfolgt 16, 2018. Zu dieser Zeit hatten seine Schöpfer einen pink78day-Account auf Github. Jetzt hat der Angreifer das Konto geschlossen. Derzeit wurde mypolo111 Ende November erstellt 2019 existiert auf Github. Der Hacker kann ein Konto im Handumdrehen ändern, indem er einfach einen neuen Transaktionsdatensatz zu seiner BTC-Wallet hinzufügt. Du kannst das Konto also nicht einfach sperren. Sie müssen die angegebene BTC-Wallet blockieren, um den PinkBot zu unterbrechen. Der Angreifer nutzte auch eine chinesische Website, um das Botnet mit einer Logik ähnlich dem Github-Projekt zu verbreiten.
Ein Botnetz (Abkürzung für „Roboternetzwerk“) bezeichnet ein Netzwerk von Computern, die mit Malware infiziert sind und über die eine einzelne Partei aus der Ferne die Kontrolle erlangen kann. Jede einzelne Maschine in der Steuerung trägt den Namen bot. Ein Angreifer kann Bots befehlen, verschiedene kriminelle Handlungen auszuführen. Normalerweise beinhaltet es DDoS-Angriffe, gezieltes Eindringen, E-Mail-Spam und Finanzverletzungen. Außerdem können Hacker auf dem Schwarzmarkt sogar Zugang zu Teilen ihres Botnetzes mieten.
