В начале прошлой недели репортер Security Week сообщил, что китайские исследователи обнаружили вариант DDoS-зловреда Mirai, использующий DGA-алгоритм как резервный способ связи с командным сервером.

По состоянию на 9 декабря на ловушках китайской ИБ-компании Qihoo 360 отметились 53 уникальных образца Mirai. Новейшая итерация бота, как показал анализ, использует TCP-порты 7547 и 5555 для заражения.

Адреса трех C&C-серверов жестко прописаны в коде зловреда, и он выбирает один из двух, генерируя случайное число. Если обращение к C&C осталось без ответа, Mirai пускает в ход DGA или пытается использовать третий вшитый домен на основании текущей даты. Так, с 1 по 3 декабря протестированный образец имел возможность использовать третий заданный адрес C&C, а потом DGA стал единственной альтернативой. Как впоследствии оказалось, первый домен, созданный с помощью DGA, оператор Mirai, использующий почтовый адрес dlinchkravitz[at]gmail[dot]com, зарегистрировал как раз 4 декабря.

О самом алгоритме исследователи смогли сказать следующее. Во-первых, этот DGA генерирует новый домен один раз в сутки, и этот выход используется лишь в том случае, если прописанные в коде C&C недоступны. Во-вторых, он оперирует лишь тремя TLD-доменами и создает имена фиксированной длины, 12 байт, составленные из букв латинского алфавита. И, наконец, доменные имена генерируются на основе даты (месяц, день) и вшитого в код зерна алгоритма. Некоторые создаваемые таким образом имена исследователям удалось спрогнозировать.

Использование вредоносным софтом DGA для C&C-связи имеет целью затруднить обнаружение и нейтрализацию его командной инфраструктуры, посему новое приобретение Mirai не могло не вызывать тревоги. Этот зловред впервые громко заявил о себе мощнейшими DDoS-атаками на сайт Брайана Кребса и ресурсы хостинг-провайдера OVH.  После слива исходного кода Mirai IoT-ботнеты на его основе стали быстро расти и множиться. Так, ближе к концу октября наблюдатели из Level 3 Communications отметили, что за две недели количество зараженных Mirai устройств увеличилось более чем в два раза и приблизилось к 500 тыс. В том же месяце была проведена масштабная DDoS-атака с использованием ботнета Mirai против DNS-провайдера Dyn, в ходе которой, среди прочих, пострадали Twitter и GitHub. В ноябре обнаружились очаги массового заражения в Западной Европе – в сетях Deutsche Telekom, KCOM, Eircom, а к декабрю Mirai объявился у британских телеоператоров TalkTalk и Post Office.

Со слов Bleeping Computer, факт использования DGA ботами Mirai подтверждают также декабрьские телеметрические данные компании OpenDNS, а ИБ-исследователь MalwareTech убежден, что новинкой обзавелся тот вариант Mirai, на основе которого был построен самый большой IoT-ботнет, известный как #14, или Annie. В конце ноября – начале декабря в него входили 3,2 млн. устройств. По свидетельству MalwareTech, именно с Annie проводились DDoS-атаки против интернет-провайдеров Либерии, а позднее были предприняты попытки угнать сотни тысяч роутеров Deutsche Telekom, Post Office и TalkTalk.

Однако ко всеобщему удивлению Mirai внезапно лишился своей обновки.

Представители Bleeping Computer использовали свое знакомство с хакером BestBuy, который сдает Annie в аренду, и попросили у него объяснений. «Мы его [DGA] больше не используем, – подтвердил хозяин ботнета. – Он использовался с 4-го [декабря] по 10-е, но в одном варианте он по недосмотру остался. Он работал временно, без всякой аутентификации, так что захватить контроль над ботами мог кто угодно». BestBuy также отметил, что, взломав алгоритм, эксперты Qihoo 360, по всей видимости, допустили ошибку в расчетах и в итоге купили не те домены.

Предположение о тестировании нового способа связи с C&C собеседник Bleeping Computer сразу отмел, заявив, что им просто нужно было сохранить контроль над ботнетом в условиях роста противостояния: «На нас ополчились Level 3 и другие». Судя по всему, BestBuy хорошо известны способы продления жизни ботнета, так как, создав и применив в нужный момент резервный механизм связи, он дал понять, что теперь прячет свой сервер в сети Tor. Тем не менее, некоторые могут усомниться в правдивости этого прозрачного намека, пишет репортер Bleeping Computer, так как IoT-устройства не располагают физическими ресурсами для работы программного пакета Tor. И действительно, никто пока не подтвердил использование Tor ботами Mirai, хотя Annie все еще жив и функционирует.

Категории: Аналитика, Вредоносные программы