Ранее не встречавшийся вариант ботнета Mirai скрывает свои командные серверы в сети TOR. К такому выводу пришли ИБ-специалисты, изучившие образец вредоносной программы. По словам аналитиков, злоумышленники поместили центр управления в анонимную часть Интернета, чтобы избежать его обнаружения и блокировки защитными системами.

Mirai связывается с командным сервером через прокси

Как утверждают исследователи, большинство клонов Mirai имеют от одного до четырех C&C-серверов. Выявленный образец содержит в своем коде 30 IP-адресов, к которым программа обращается в процессе работы. ИБ-специалисты установили, что зловред отправляет на них последовательность символов 05 01 00, которая используется как запрос на установку SOCKS5-соединения.

Проверив все указанные в исходниках нового клона адреса, эксперты выяснили, что они являются прокси-серверами, предназначенными для переадресации данных в центр управления, расположенный в сети TOR. По словам аналитиков, программа выбирала один из IP-адресов и пыталась установить через него соединение, а в случае неудачи переходила к другому прокси. Открыв канал на тестовой машине, ИБ-специалисты получили запрос на авторизацию от командного сервера Mirai, что подтвердило их предположения.

Новый вариант ботнета обладает типовыми возможностями, свойственными этому семейству вредоносных программ. Он сканирует пространство IP-адресов в поисках открытых портов 9527 и 34567, обычно используемых IoT-устройствами. Зловред применяет метод перебора логина и пароля для проникновения в целевую систему, после чего задействует скомпрометированное оборудование в DDoS-атаках.

Сканеры безопасности могут идентифицировать данный штамм по строке LONGNOSE: applet not found, включенной в код программы. Аналитики провели поиск других вариантов Mirai, связанных с этим образцом, и обнаружили файловый сервер, который содержал дистрибутивы ботнета для разных чипсетов.

Исходный код Mirai был слит в Интернет в 2016 году, и с тех пор его используют несколько групп злоумышленников. Один из последних выявленных ИБ-специалистами вариантов зловреда был вооружен сразу 13 эксплойтами, использующими уязвимости в роутерах, IP-камерах, видеорегистраторах и Linux-устройствах с установленным фреймворком ThinkPHP.

Категории: Вредоносные программы