Злоумышленники взломали тысячи WordPress-сайтов,  создали ботнет и осуществляют проксирование трафика по заказу. Проведенный в Qihoo 360 анализ показал, что в качестве прокси-агента предприимчивые хакеры используют Linux-версию Ngioweb — вредоносной программы, впервые засветившейся на радарах ИБ-экспертов около года назад и до сих пор атаковавшей лишь Windows-машины.

По коду новобранец схож со своим прототипом — за единственным исключением: он использует алгоритм DGA в качестве резервного механизма связи с командным сервером. Но вначале Linux-бот пытается установить соединение с двумя прописанными в коде IP-адресами (южноафриканским и румынским). Список доменов, генерируемых по DGA, включает 300 имен; после их создания зерно сбрасывается.

Исследователям удалось взломать алгоритм, используемый Linux.Ngioweb, и зарегистрировать один из C&C-доменов, чтобы получить представление о работе ботнета. Как оказалось, управление зловредом осуществляется по HTTP с кодированием параметров по base64. В командную инфраструктуру ботнета также входят узлы, выполняющие обратное подключение к клиентским серверам Socks5 прокси. На этих каналах пакеты шифруются путем выполнения операции XOR и алгоритма AES в режиме ECB.

Совокупно в рамках Linux-ботнета Ngioweb экспертам удалось выявить 24 головных бэкконнект-сервера (во Франции, Ирландии и Германии) и 2692 IP-адреса, ассоциируемых с индивидуальными ботами. Почти все зараженные узлы оказались веб-серверами, на которых установлены программы WordPress. Половина из них расположены в США, по 100-150 заражений обнаружено в Бразилии, России, Германии и Франции.

Анализ взломанных серверов показал, что помимо программы-агента (Linux.Ngioweb) авторы атак загружают на них шелл-скрипты для удаленного администрирования.

Конечная цель ботоводов неизвестна. В Qihoo 360 предположили, что злоумышленники оказывают услуги по проксированию трафика и пока просто фиксируют все, что проходит через новый ботнет.

Категории: Аналитика, Вредоносные программы