Специалисты по информационной безопасности обнаружили новый бот, управление которым осуществляется через p2p-соединение. Клиент получил название IPStorm и использует легитимную пиринговую систему IPFS, чтобы скрыть свой трафик. Программа способна доставлять на инфицированную машину и скачивать с нее файлы и выполнять на хосте сторонние PowerShell-сценарии.

Как выяснили ИБ-аналитики, зловред нацелен на ПК под управлением Windows и оперирует библиотекой libp2p, которая применятся для создания одноранговой сети и первоначальной загрузки в файловой системе IPFS. Дистрибутив программы имеет размер около 15 Мб и формирует название целевого каталога, используя предопределенный список имен, а также случайно сгенерированную последовательность символов.

Попав на целевое устройство, IPStorm собирает и отправляет злоумышленникам сведения о системе, включающие имя пользователя и UID. Для обхода механизмов безопасности зловред применяет распределение памяти, формируя несколько массивов размером 3 Мб. Кроме того, программа добавляет свой процесс в список исключений брандмауэра, чтобы получить возможность беспрепятственно взаимодействовать с другими узлами пиринговой сети.

В отличие от традиционных клиент-серверных ботнетов, IPStorm не имеет центра управления, а команды передаются от одного узла другому. Такая схема сложнее в реализации, однако позволяет киберпреступникам действовать незаметно, маскируясь в легитимном p2p-трафике.

Зловред написан на языке Go. ИБ-специалисты считают, что программа находится на начальных стадиях разработки и в дальнейшем получит новые вредоносные функции. Как отмечают исследователи, вирусописатели, скорее всего, использовали для создания бота компьютер под управлением macOS и позже смогут портировать IPStorm на другие платформы.

Для повышения жизнестойкости ботнетов их авторы иногда отходят от клиент-серверной схемы и создают одноранговые структуры на основе p2p-протоколов. В январе этого года такую возможность получили клиенты вредоносной сети DDG. Программа использует жестко заданный список нодов, через которые хосты подключаются к пиринговому обмену и получают команды злоумышленников.

Категории: Аналитика, Вредоносные программы, Главное