Последние пару месяцев ИБ-инциденты, связанные с Java, почти иссякли, и это приятная перемена: год назад СМИ буквально захлебывались сообщениями об актуальных брешах в этой платформе. Однако похоже, что благодатному затишью пришел конец: эксперты «Лаборатории Касперского» обнаружили мультиплатформенный бот, полностью написанный на Java.

Анализ вредоносного Java-приложения показал, что оно заражает пользовательские компьютеры с единственной целью — приобщить их к DDoS-ботнету. Для общения с С&C зловред использует IRC-протокол; он способен проводить атаки по типу HTTP или UDP flood.

По словам эксперта «Лаборатории» Антона Иванова, данный DDoS-бот работает под Windows, Mac OS X и Linux. Для его распространения злоумышленники используют уязвимость CVE-2013-2465. Последняя присутствует в Java 7 u21 и ниже, а также в разных версиях of Java 6 и 5. Ее эксплойт открывает возможность для удаленного выполнения кода в обход песочницы, что чревато дестабилизацией сервиса и раскрытием информации. Патч для данной бреши Oracle выпустила в июне прошлого года.

В своем отчете Иванов отметил одну интересную особенность: для реализации общения по IRC бот использует открытый фреймворк PircBot. При этом «все необходимые классы зловред таскает с собой». Вот как описывает PircBot его хостер Jibble.org: «PircBot позволяет выполнять разные занимательные IRC-задачи, но также используется для написания более серьезных приложений. Его применяют ВМС и ВВС США, ЦРУ (неустановленный факт), несколько оборонных ведомств; он также послужил основой для BitTorrent-клиента Azureus. Но пусть вас это не смущает — пользоваться им очень просто».

При запуске на зараженной машине бот копирует себя в домашнюю директорию пользователя и в зависимости от платформы выбирает тип добавления в автозагрузку. Затем зловред генерирует уникальный идентификатор и подключается к IRC-серверу. После успешной установки соединения бот, по словам Иванова, заходит на заданный канал и ждет команды хозяина. Такие команды содержат тип атаки, IP-адрес мишени, номер порта, продолжительность атаки и число потоков.

Чтобы усложнить задачу возможным исследователям, DDoS-бот использует обфускатор Zelix Klassmaster. «Помимо обфускации байткода Zelix шифрует строковые константы, — поясняет Иванов. — Для каждого класса Zelix генерирует разные ключи, следовательно, чтобы расшифровать все строки в приложении, надо исследовать все классы и найти ключи для расшифровки».

«Лаборатория Касперского» детектирует данную вредоносную программу с вердиктом HEUR:Backdoor.Java.Agent.a. Заметим, что это не первый случай использования CVE-2013-2465, зафиксированный «лаборантами». Эксплойт к этой Java-уязвимости был также обнаружен в ходе недавней целевой атаки на уйгурских активистов; при его отработке на машину жертвы загружался обновленный вариант бэкдора NetTraveler.

Категории: Аналитика, Вредоносные программы