Эксперты Arbor Networks проанализировали новый вариант версии DDoS-бота Dirt Jumper, которую они называют Drive. По их свидетельству, новая итерация Drive — один из первых таких инструментов, способный отследить и обойти известные механизмы специализированной защиты.

Как мы уже сообщали, модификация Dirt Jumper Drive в ее первоначальном виде была обнаружена в минувшем июне. Тогда же исследователи отметили, что она мощнее всех прежних версий Dirt Jumper и имеет новый движок. Судя по всему, авторы Drive продолжают работу над его усовершенствованием: в обновленном зловреде изменена схема обмена с C&C-сервером и расширен функционал, в том числе система самозащиты.

Ранее для обращения к командному серверу Dirt Jumper Drive, как и его предшественники, использовал простой POST-запрос длиной 15 или 34 байта, содержащий единственный параметр k. Ныне этот параметр переименован в req, хотя размер идентификатора бота остался прежним. Новый Drive перед запросом адреса мишени и после него отсылает еще один POST ― жестко прописанную в коде строку newd=1, на которую C&C отвечает списком резервных URL на тот случай, если головной сервер будет недоступен.

Модификация Dirt Jumper Drive, как уже было отмечено ранее, поддерживает атаки по типу HTTP flood, IP flood и UDP flood, определяемые командами -get, -post1, -post2, -ip, -ip2 и -udp, а также -timeout (продолжительность), -thread (число потоков, по умолчанию 30) и -request (используется только в атаках HTTP flood). После обновления в арсенале Drive появились четыре новые команды на атаку: icmp, byte, long и smart.

Наименее интересен первый тип атаки, это обычный поток эхо-запросов, направляемых на атакуемый хост по ICMP-протоколу. Атака, инициируемая командой BYTE, по словам исследователей, напоминает прежние IP flood, нацеленные на удержание открытых соединений путем отправки случайно сгенерированных данных. Такие атаки призваны обойти традиционную защиту, отслеживающую мусорные потоки по пакетам, не содержащим никакой информации. По свидетельству Arbor, Drive способен проводить IP-flood-атаки на разные объекты, включая HTTPS, SSH и MySQL. Выполняя команду BYTE, бот отправляет один произвольный байт со строчной буквой перед каждой попыткой мишени закрыть сокет. Такие инициированные Drive атаки были замечены лишь на порту 80.

Атака, запускаемая командой LONG, нацелена на удержание сокета открытым в течение длительного времени. Бот генерирует и отсылает небольшие пакеты произвольных данных, чередуя периоды активности и бездействия. Он может выполнять отправку до 10 240 раз, делая перерывы по 2–6 секунд. По мнению исследователей, Drive вряд ли удастся осуществить весь заложенный цикл такой атаки, так как большинство веб-сервисов обычно закрывают сокет при получении данных, которые в соответствии с установленными правилами определяются как некорректные. Тем не менее на некоторых сервисах такая защита отсутствует, и продолжительная атака данного типа сможет истощить все наличные ресурсы. От себя добавим, что приведенное Arbor описание соответствующих BYTE- и LONG-атак перекликается с Low & Slow DoS в терминологии Radware.

Наиболее интересной атакой в новом арсенале Drive является та, что выполняется по команде SMART. Эксперты пока обнаружили данную функцию лишь в одном сэмпле, который пытался применить эту технику в атаках на веб-сайты. Инициируемая командой SMART атака начинается с отправки пробного пакета. Получив ответ с атакуемого сервера, бот отыскивает в заголовке строку Set-Cookie или Location и подвергает ее разбору, пытаясь установить значение Cookie либо новый URL, чтобы использовать их в последующем запросе. Кроме того, Drive ищет в ответе жертвы тэг meta equiv refresh, location= или document.location.href и пытается тоже их использовать в своих запросах для обхода защитных решений. Проверка наличия защиты производится перед каждой подачей http-запроса.

По свидетельству исследователей, механизм парсинга, реализованный в новом Drive, пока несовершенен. Это лишь проба пера, но за ней не преминут последовать аналогичные эксперименты, к которым борцы с интернет-угрозами должны быть готовы.

Категории: Вредоносные программы