TDSS обзавелся генератором доменов

По свидетельству Damballa, ботнет, построенный на базе руткита TDL-4, обрел еще одно средство самозащиты ― DGA, генератор доменов.

Использование DGA (Domain Generation Algorithm) для маскировки истинного местонахождения C&C ― трюк отнюдь не новый и достаточно эффективный. Его с успехом применяли ботоводы Kraken, Sinowal, Waledac, Kido и ZeuS, чтобы повысить жизнестойкость командной инфраструктуры. DGA-алгоритм с заданной частотой воспроизводит длинные списки доменных имен, сгенерированных на основе случайной выборки. Пытаясь связаться с центром управления, бот последовательно перебирает позиции списка и направляет запросы DNS-серверу до тех пор, пока не обнаружит работающий домен.

Эксперты обнаружили повышенную NS-активность, наблюдая очередную мошенническую кампанию по накрутке кликов (click fraud) с участием TDL-4. Характерные особенности DNS-трафика вызвали срабатывание сетевых анализаторов Damballa, настроенных на поиск в Сети угроз на базе DGA. Оказалось, что источником подозрительного поведения являются боты TDL-4, которые пытаются отыскать C&C в Сети, чтобы доложить о результатах click fraud махинаций. Подтвердить свою находку живым примером экспертам пока не удалось: никто из коллег, похоже, не располагает нужным сэмплом. Чтобы удостовериться в правильности своих предположений, Damballa пришлось использовать sinkhole-маршрутизатор, перехватывающий командный трафик, и снимки памяти с зараженных устройств.

DGA-модификация TDL-4 предположительно живет в интернете с мая текущего года. На ее счету уже свыше 250 тыс. жертв, в том числе правительственные ведомства, интернет-провайдеры и 46 компаний из списка Fortune 500. Исследователи насчитали 85 серверов и 418 уникальных доменов, ассоциированных с новым TDL-4. Наибольшее количество C&C обнаружено в России (26 хостов), Румынии (15) и Голландии (12). Упомянутая выше click fraud кампания нацелена на угон кликов с Facebook, DoubleClick, YouTube, Yahoo.com, MSN и Google.com.

TDL-4 появился на интернет-арене два года назад как очередной результат эволюции руткита TDSS. По данным ЛК в начале прошлого года в состав ботнета, построенного на его основе, входило, свыше 4,5 млн. зараженных компьютеров. Это мощное орудие используется злоумышленниками для махинаций с рекламными и поисковыми системами, обеспечения анонимного доступа в Сеть и установки других вредоносных программ на машины в зомби-сети. В арсенале TDL-4 имеются такие средства самозащиты, как шифрование командного трафика, управление по р2р-каналам, прокси-серверы и даже собственный «антивирус» ― для устранения конкурентов на местах. Находка Damballa вновь доказывает, что процесс совершенствования TDSS идет полным ходом.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *