Архив новостей

«Зевс» децентрализует свои владения

Эксперты ZeusTracker обнаружили многотысячный р2р-ботнет, сформированный на основе ZeuS.

Как показал анализ, новый бот, распространяемый в спаме, ― не что иное, как заказная сборка на базе версии ZeuS, снабженной генератором доменов. В ZeusTracker определили ее как доработанную модификацию Murofet. Следует отметить, что наличие алгоритма генерации доменов в арсенале зловреда сильно осложняет работу исследователей, пытающихся отследить его центры управления в Сети. Однако на сей раз создатели ботнета решили усилить защиту командной инфраструктуры путем реорганизации и вынесли канал обновлений на уровень р2р-сети.

После инсталляции новый ZeuS пытается связаться с пирами, используя список IP-адресов, жестко прописанный в коде. Поиск активного рабочего узла осуществляется путем отсылки UDP-пакетов на портах с многозначным номером. В случае успеха новичок получает текущие адреса участников р2р-сети и информацию о версии кода и конфигурационного файла. Если они окажутся более актуальными, чем собственные, троянец закачивает обновление, соединяясь с удаленным узлом через TCP-порт. После этого он по http-каналу подключается к командному серверу, используя текущий домен, прописанный в конфигурационном файле.

Протокол http используется лишь для отправки украденных данных на коллектор и/или получения команд от ботмастера. Что касается генератора доменов, модифицированный ZeuS задействует его лишь в том случае, когда прочие C&C каналы недоступны. По словам экспертов, новая структура ботнета, безусловно, затруднит мониторинг деятельности троянца, но и этот метод самозащиты имеет свои недостатки. Поскольку в конкретный период времени в сети активен лишь один C&C домен, в случае его блокировки ботоводам придется срочно обновлять конфигурационный файл.

ZeusTracker удалось подменить несколько контроллеров нового ботнета, что позволило оценить масштабы заражения и определить ареал обитания новой модификации ZeuS. К настоящему времени исследователи насчитали порядка 80 тыс. уникальных IP-адресов, активно участвующих в р2р-обмене. Наибольшее количество заражений обнаружено в Индии (свыше 70 тыс.), немногим меньше ― в Италии и США (67 и 63 тыс. соответственно). Результаты наблюдений позволили также заключить, что ботоводы сдают свою сеть в аренду.

«Зевс» децентрализует свои владения

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике