Три месяца назад специалисты по безопасности из компании G Data SecurityLabs сообщили об обнаружении P2P-ботнета, который работает через Tor. Технические детали об управлении этой системой ранее рассказал сам владелец этого ботнета, студент, в анонимном интервью на Reddit. Эта в своём роде уникальная разработка наконец-то привлекла внимание серьёзных исследователей, которые получили в своё распоряжение клиентский модуль и изучили его функционал.

Исследователи из компании Rapid7 подтвердили слова владельца ботнета о способах монетизации через майнинг биткоинов. Он также признавался в продаже банковской, биллинговой информации и данных кредитных карт с заражённых машин, проведении DDoS по заказу.

Интересно, что владелец ботнета самостоятельно распространяет трояны через Usenet, хотя подумывает о покупке уже залитых машин. Тем не менее, образец клиентской программы (15 МБ) был найден на одной из файлопомоек Usenet с пиратским контентом, которыми до сих пользуются некоторые американские пользователи. Образец продемонстрировал довольно низкий уровень обнаружения по VirusTotal: 7/42.

Программа состоит из простого IRC-бота, работающего через Tor, бота ZeuS, Tor-клиента для Windows, биткоин-майнера CGMiner с необходимой библиотекой OpenCL.dll, большого количества мусорных данных для раздутия объёма файла и обфусцированного кода. После установки в системе клиент запускает процесс IEXPLORE.EXE или svchost.exe и прописывается в реестре Windows, в разделе Run.

Бот не только соединяется с C&C-сервером через Tor, но и запускает Tor Hidden Service на порту 55080. Исследователи опубликовали список псевдодоменов .onion, которые использует ботнет.

Студент спроектировал ботнет самостоятельно, имея за плечами два года опыта в программировании. Он взял утёкший исходный код ZeuS, исправил баги, добавил новые фичи, добавил модули IRC и майнинга биткоинов. Своей разработке автор дал название Skynet.



Оставить мнение