Ботнет WireX стал уникальным явлением с точки зрения специалистов по защите информации: он использовал сотни мобильных приложений, попавших в GooglePlay и распространившихся на сотни тысяч Android-смартфонов, для заражения этих самых смартфонов и превращения их в ботов. Потребовались объединенные усилия Google, CDN-провайдеров и исследователей, чтобы хотя бы частично остановить распространение и деятельность ботнета.

Однако недавно появился новый вид WireX, осуществляющий атаки типа UDP-flood с использованием устройств Android.

Исследователи из компании F5 Labs заявили, что изученный ими образец бота создает 50 одновременно работающих потоков, каждый из которых может отправлять 10 миллионов UDP-пакетов размером 512 байт. По словам Максима Заводчика, менеджера по анализу безопасности из компании F5, опасность этих атак зависит от технических характеристик зараженных устройств.

“Вшитая возможность отправлять 10 миллионов пакетов в секунду для каждого потока не позволяет определить, сколько пакетов в секунду можно отправить в действительности”, — говорит Заводчик.

Компания F5 заявляет, что данная разновидность ботнета использует тот же домен сервера управления и некоторые фрагменты кода, что и вредоносное программное обеспечение WireX, обнаруженное на прошлой неделе. Его первая версия распространялась с использованием сотен мобильных приложений, отправлявших сайтам огромное число запросов по протоколу HTTPS, стремясь завалить запросами веб-серверы. 300 таких приложений уже удалены из магазина GooglePlay.

“Похоже, что сейчас злоумышленники находятся на этапе “тестирования” и пытаются заразить как можно больше устройств, — говорит Заводчик. — Создается впечатление, что существует несколько вариантов ботнета. Различные варианты используют один командный сервер, а в самой вредоносной программе отсутствует функция “обновления версии” — в одной и той же атаке участвуют все версии”.

Во вторник F5 опубликовала отчет, где объясняется, каким образом бот, осуществляющий атаку типа UDP-flood, обращается к командному URL-адресу (u[.]axclick[.]store) для получения информации об атакуемых доменах и портах. Кроме того, специалисты обнаружили, что при запуске приложение может 10 раз открыть браузер, по умолчанию используемый в системе Android. Такое поведение схоже с поведением вредоносных программ, осуществляющих воровство кликов.

В отчете о WireX, опубликованном на прошлой неделе, говорится, что данное вредоносное программное обеспечение обладает теми же особенностями, что и вредоносная программа для кликфрода AndroidClicker. Исследователи сообщества компаний, обнаружившие на прошлой неделе ботнет WireX, заявили, что злоумышленники, использующие WireX, скорее всего, недавно перешли к применению DDoS-атак.

Компания F5 по-прежнему считает, что данное вредоносное программное обеспечение отличается от других вредоносных программ, осуществляющих DDoS-атаки.

“Алгоритм атаки несколько отличается от алгоритма, используемого большинством семейств вредоносных программ для DDOS-атак. Чтобы обеспечить непрерывную отправку пакетов и улучшить управляемость, как правило, используются два исполняемых модуля, один из которых запрашивает инструкции у командного сервера, а второй в цикле отправляет пакеты, пока не будет получена команда остановить отправку. Некоторые вредоносные программы получают данные о длительности атаки от командного сервера в качестве параметра атаки. Однако WireX, похоже, не поддерживает эту возможность. Создается впечатление, что в коде, осуществляющем атаку, указано неизменное число отправляемых пакетов и что атака не прекращается, пока этот код не запросит новые инструкции у командного сервера. В проанализированных нами вариантах вредоносной программы командный сервер опрашивается каждые 60 секунд (а также при запуске приложения и изменении состояния подключения к сети). На протяжении одного цикла отправки запросов GET отправляется 100 запросов”.

Заводчик заявил, что атаки типа UDP-flood выполняются быстрее и проще, поскольку при их реализации не требуется осуществлять квитирование TCP, необходимое при атаках типа HTTP-flood.

“Кроме того, этот механизм позволяет подменять исходный IP-адрес, хотя данная вредоносная программа не поддерживает такую возможность”, — говорит Заводчик.

Категории: DoS-атаки, Аналитика, Вредоносные программы, Главное