Обнаружен первый TOR- ботнет Skynet

image

Теги: ботнет, Zeus

Специалисты компании Rapid 7 опубликовали анализ ботнета, управляющегося через TOR-сеть.

Специалистами по сетевой безопасности из компании Rapid7 был обнаружен один из первых ботнетов, в котором связь зараженных машин с C&C сервером выполняется при помощи технологии TOR (The Onion Router), обеспечивающей анонимный доступ к интернету. Создатели ботнета дали ему название Skynet, по аналогии с искусственным интеллектом в фильмах о "Терминаторе".

Образец вредоносного ПО, полученный специалистами имеет большой размер (практически 15 МБ) и ранее не был загружен на Virustotal. На момент публикации сообщения, уровень обнаружения был 7/42, а на момент написания статьи - 24/45. Базовый код ядра составляет IRC бот с поддержкой TOR. Большая часть бинарника содержит мусорные данные, которые, скорей всего, используются для того, чтобы замаскировать приложение под легитимный файл. При создании бинарника также использовалось несколько методов обфускации для предотвращения обнаружения вредоноса программного обеспечения. В состав Skynet входят следующие 4 компонента:

  1. Бот ZeuS
  2. TOR-клиент для Windows
  3. Утилита для генерации Bitcoin - CGMiner
  4. Копия библиотеки OpenCL.dll, используемая CGMiner для взлома хэша посредством CPU/GPU.

При запуске вредоносная программа сначала копирует себя в каталог %AppData%, а затем начинает процедуру инициализации, в результате чего ядро маскируется либо как Internet Explorer, либо как svchost.exe.

В целях обеспечения исполнения после перезагрузки, создается традиционная запись в раздел реестра Run.

Исследователи сообщают, что Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin, исполнение произвольного кода по команде оператора, а также хищение реквизитов для доступа к web-сайтам и банковским счетам. Главной особенностью Skynet является то, что доступ к его серверам управления возможен только через сеть TOR, используемую для анонимного доступа к обычным web-сайтам, а также к чат-серверам IRC и некоторым другим сервисам.

По оценкам специалистов из Rapid7, сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. Следует отметить, что каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам.

Подробнее ознакомиться с отчетом специалистов из Rapid 7 можно здесь.


или введите имя

CAPTCHA
neolead
11-12-2012 11:28:42
красиво!
0 |
11-12-2012 11:55:06
TOR больше хорошо, а вот Run палится сразу, так что лажа.
0 |
гость
11-12-2012 17:05:23
Есть идеи лучше?
0 |
никто
11-12-2012 17:20:39
не понимаю, как люди создающие такие концепты пишут в HKLM\CU/run
0 |
сомневающийся
12-12-2012 16:16:47
сомневаюсь я однако.. как он преодолевает UAC? а как зараженная машина станет ретранслятором за рутером и NAT? тут порой при желании намучаешься чтобы настроить ретрансляцию.
0 |