Специалисты компании Rapid 7 опубликовали анализ ботнета, управляющегося через TOR-сеть.
Специалистами по сетевой безопасности из компании Rapid7 был обнаружен один из первых ботнетов, в котором связь зараженных машин с C&C сервером выполняется при помощи технологии TOR (The Onion Router), обеспечивающей анонимный доступ к интернету. Создатели ботнета дали ему название Skynet, по аналогии с искусственным интеллектом в фильмах о "Терминаторе".
Образец вредоносного ПО, полученный специалистами имеет большой размер (практически 15 МБ) и ранее не был загружен на Virustotal. На момент публикации сообщения, уровень обнаружения был 7/42 , а на момент написания статьи - 24/45. Базовый код ядра составляет IRC бот с поддержкой TOR. большая часть бинарника содержит мусорные данные, которые, скорей всего, используются для того, чтобы замаскировать приложение под легитимный файл. При создании бинарника также использовалось несколько методов обфускации для предотвращения обнаружения вредоноса программного обеспечения. В состав Skynet входят следующие 4 компонента:
Бот ZeuS
TOR-клиент для Windows
Утилита для генерации Bitcoin - CGMiner
Копия библиотеки OpenCL.dll, используемая CGMiner для взлома хэша посредством CPU/GPU.
При запуске вредоносная программа сначала копирует себя в каталог %AppData%, а затем начинает процедуру инициализации, в результате чего ядро маскируется либо как Internet Explorer, либо как svchost.exe.
В целях обеспечения исполнения после перезагрузки, создается традиционная запись в раздел реестра Run.
Исследователи сообщают, что Skynet поддерживает организацию распределенных атак на отказ в обслуживании (DDoS), генерацию виртуальной валюты Bitcoin, исполнение произвольного кода по команде оператора, а также хищение реквизитов для доступа к web-сайтам и банковским счетам. Главной особенностью Skynet является то, что доступ к его серверам управления возможен только через сеть TOR, используемую для анонимного доступа к обычным web-сайтам, а также к чат-серверам IRC и некоторым другим сервисам.
По оценкам специалистов из Rapid7, сейчас ботнет Skynet охватывает около 12-15 тысяч зараженных компьютеров. Следует отметить, что каждый зараженный компьютер в ботнете Skynet сам становится TOR-ретранслятором, что делает сеть TOR еще более крупной и устойчивой к нагрузкам.
Подробнее ознакомиться с отчетом специалистов из Rapid 7 можно здесь .