«Зевс» децентрализует свои владения

Эксперты ZeusTracker обнаружили многотысячный р2р-ботнет, сформированный на основе ZeuS.

Как показал анализ, новый бот, распространяемый в спаме, ― не что иное, как заказная сборка на базе версии ZeuS, снабженной генератором доменов. В ZeusTracker определили ее как доработанную модификацию Murofet. Следует отметить, что наличие алгоритма генерации доменов в арсенале зловреда сильно осложняет работу исследователей, пытающихся отследить его центры управления в Сети. Однако на сей раз создатели ботнета решили усилить защиту командной инфраструктуры путем реорганизации и вынесли канал обновлений на уровень р2р-сети.

После инсталляции новый ZeuS пытается связаться с пирами, используя список IP-адресов, жестко прописанный в коде. Поиск активного рабочего узла осуществляется путем отсылки UDP-пакетов на портах с многозначным номером. В случае успеха новичок получает текущие адреса участников р2р-сети и информацию о версии кода и конфигурационного файла. Если они окажутся более актуальными, чем собственные, троянец закачивает обновление, соединяясь с удаленным узлом через TCP-порт. После этого он по http-каналу подключается к командному серверу, используя текущий домен, прописанный в конфигурационном файле.

Протокол http используется лишь для отправки украденных данных на коллектор и/или получения команд от ботмастера. Что касается генератора доменов, модифицированный ZeuS задействует его лишь в том случае, когда прочие C&C каналы недоступны. По словам экспертов, новая структура ботнета, безусловно, затруднит мониторинг деятельности троянца, но и этот метод самозащиты имеет свои недостатки. Поскольку в конкретный период времени в сети активен лишь один C&C домен, в случае его блокировки ботоводам придется срочно обновлять конфигурационный файл.

ZeusTracker удалось подменить несколько контроллеров нового ботнета, что позволило оценить масштабы заражения и определить ареал обитания новой модификации ZeuS. К настоящему времени исследователи насчитали порядка 80 тыс. уникальных IP-адресов, активно участвующих в р2р-обмене. Наибольшее количество заражений обнаружено в Индии (свыше 70 тыс.), немногим меньше ― в Италии и США (67 и 63 тыс. соответственно). Результаты наблюдений позволили также заключить, что ботоводы сдают свою сеть в аренду.