За три месяца эксперты подразделения Arbor Networks компании NetScout зарегистрировали более 900 DDoS-атак, проведенных с участием ботов Flusihoc. Самая мощная из этих DDoS на пике показала 45,08 Гбит/c.

Компания Arbor собирает статистику по небольшому ботнету, известному как Flusihoc, с 2015 года. На настоящий момент в ее базе числятся 154 C&C-сервера (по состоянию на сентябрь 48 активны) и свыше 500 уникальных сэмплов данного Windows-зловреда, который до сих пор развивается.

По словам исследователей, географическое местоположение C&C и наличие китайских слов и символов в коде бота говорят о китайском происхождении угрозы, хотя второе доказательство могло быть привнесено умышленно — чтобы запутать ИБ-исследователей. Разнообразие мишеней Flusihoc, большинство которых прописаны в Китае, может свидетельствовать о том, что данный ботнет сдается в аренду.

Анализ новейших образцов DDoS-бота показал, что он по-прежнему способен применять девять техник атаки:

  • SYN_Flood
  • UDP_Flood
  • ICMP_Flood
  • TCP_Flood
  • HTTP_Flood
  • DNS_Flood
  • CON_Flood
  • CC_Flood
  • CC_Flood2

Адреса C&C, к которым обращается Flusihoc, с апреля стали шифроваться по RC4 (ранее они включались в запросы открытым текстом). Состав и структура команд, подаваемых из центра управления, не изменились: получив соответствующий цифровой код, зловред сообщает данные зараженной системы, проверяет наличие полезной нагрузки и закачивает ее при отсутствии, сообщает свой статус («занят в атаке»/»свободен»), инициирует DDoS, исходя из полученных параметров, или завершает атаку.

Исследователи также обнаружили, что после обновления к Flusihoc вернулся механизм, облегчающий его повторный запуск после перезагрузки системы. Чтобы сохранить полноценное присутствие, бот добавляет соответствующую запись в реестр. По свидетельству Arbor, этот механизм присутствовал в ранних образцах зловреда, затем был изъят — видимо, чтобы затруднить детектирование, а теперь вирусописатели вновь его добавили.

В апреле у Flusihoc также появилась новая функциональность — загрузка дополнительных файлов через Windows API и их запуск на исполнение. Таким образом, операторы ботов получили возможность раздавать на зараженные машины обновления и другие вредоносные коды.

В период с июля по сентябрь Arbor в среднем ежедневно фиксировала порядка 15 DDoS-событий, ассоциированных с ботнетом Flusihoc. Половина этих атак были проведены как TCP SYN, 123 — как DDoS с SSDP-плечом, 115 использовали возможности протокола UDP. Вредоносный поток наблюдался на портах 80, 1-1023 и 443. Средняя мощность новейших Flusihoc-атак пока невелика — чуть выше 600 Мбит/с.

Категории: DoS-атаки, Аналитика, Вредоносные программы