Архив новостей

TDSS обзавелся генератором доменов

По свидетельству Damballa, ботнет, построенный на базе руткита TDL-4, обрел еще одно средство самозащиты ― DGA, генератор доменов.

Использование DGA (Domain Generation Algorithm) для маскировки истинного местонахождения C&C ― трюк отнюдь не новый и достаточно эффективный. Его с успехом применяли ботоводы Kraken, Sinowal, Waledac, Kido и ZeuS, чтобы повысить жизнестойкость командной инфраструктуры. DGA-алгоритм с заданной частотой воспроизводит длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен.

Эксперты обнаружили повышенную NS-активность, наблюдая очередную мошенническую кампанию по накрутке кликов (click fraud) с участием TDL-4. Характерные особенности DNS-трафика вызвали срабатывание сетевых анализаторов Damballa, настроенных на поиск в Сети угроз на базе DGA. Оказалось, что источником подозрительного поведения являются боты TDL-4, которые пытаются отыскать C&C в Сети, чтобы доложить о результатах click fraud махинаций. Подтвердить свою находку живым примером экспертам пока не удалось: никто из коллег, похоже, не располагает нужным сэмплом. Чтобы удостовериться в правильности своих предположений, Damballa пришлось использовать sinkhole-маршрутизатор, перехватывающий командный трафик, и снимки памяти с зараженных устройств.

DGA-модификация TDL-4 предположительно живет в интернете с мая текущего года. На ее счету уже свыше 250 тыс. жертв, в том числе правительственные ведомства, интернет-провайдеры и 46 компаний из списка Fortune 500. Исследователи насчитали 85 серверов и 418 уникальных доменов, ассоциированных с новым TDL-4. Наибольшее количество C&C обнаружено в России (26 хостов), Румынии (15) и Голландии (12). Упомянутая выше click fraud кампания нацелена на угон кликов с Facebook, DoubleClick, YouTube, Yahoo.com, MSN и Google.com.

TDL-4 появился на интернет-арене два года назад как очередной результат эволюции руткита TDSS. По данным ЛК в начале прошлого года в состав ботнета, построенного на его основе, входило, свыше 4,5 млн. зараженных компьютеров. Это мощное орудие используется злоумышленниками для махинаций с рекламными и поисковыми системами, обеспечения анонимного доступа в Сеть и установки других вредоносных программ на машины в зомби-сети. В арсенале TDL-4 имеются такие средства самозащиты, как шифрование командного трафика, управление по р2р-каналам, прокси-серверы и даже собственный «антивирус» ― для устранения конкурентов на местах. Находка Damballa вновь доказывает, что процесс совершенствования TDSS идет полным ходом.

TDSS обзавелся генератором доменов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике