Специалисти се натъкнаха на рядко срещана техника, използвана от ботнет оператор, която ако бъде възприета масово, предупреждават те, ще направи свалянето на подобни структури невъзможно.

Akamai са открили, че известен ботнет, изграден с целта за добиване на криптовалута е започнал да използва блокчейна на Биткойн, за да съхранява конфигурационната информация, свързана с вторичната му, резервна, командна инфраструктура. Децентрализираната природа на блокчейна прави по този начин инфраструктурата му много по-устойчива и трудна за сваляне.

„Основната цел тук е той да може да се възстанови, ако бъдат предприети мерки по свалянето му“, споделя Евиятар Сайас от Akamai, цитиран от Dark Reading. Организаторите на зомби армията от пленени компютри се подсигурява по този начин, че ако домейните бъдат иззети или пленените IP адреси пренасочени, те ще имат резервен вариант за предаване на информацията, която засяга инфектираните системи към нови командни сървъри. „Те правят това, понеже блокчейнът е децентрализиран и не може да бъде свален“, допълва той. Конкретно този ботнет е свързан с кампания, която компанията нарича Skidmap и е насочена към пленяването и управлението на Линукс машини – кампания, за която първи пишат Trend Micro през декември миналата година. Зловредната програма, свързана с кампанията използва известни RCE (remote code execution) уязвимости в технологии, като Hadoop YARN и Elasticsearch.

Веднъж попаднал на уязвимата система, той създава cron задача, която се свързва с командния сървър на зададен му интервал от време и инфектира наново системите с последните версии на програмата. За да си осигурят постоянно присъствие, операторите на ботнета установяват механизъм, посредством който бива сваляна нова версия с конфигурация, използваща друг контролен сървър, ако първият бъде свален. В края на миналата година Akamai забелязват еволюция на ботнетас включването в кода на програмата на биткойн адрес, URL за прихващане на апликационния интерфейс от портфейла и няколко неразбираеми реда код, написани на Bash. Анализ показал, че информацията, която интерфейсът извличал от портфейла се използва за изчисляване на IP адреса, който програмата да използва за устойчиво присъствие и повторно заразяване, ако командната структура бъде изведена от строя.

„Те крият IP адресите в стойностите на биткойн транзакциите“, обяснява Сайас.

Dark Reading обясняват, че основната разлика между този подход и традиционните е, че при тях присъства една централизирана власт, която отговаря за съхранението и разпространението на командната информация. И понеже блокчейните са децентрализирани по дизайн, то те са устойчиви на централизирани опити за премахването на данните. „Ще ви се наложи да забраните ефективно връзките към този портфейл от стандартните платформи за разглеждане на блокчейна – а те са много“, продължава Сайас. И даже подобен опит за сваляне да е успешен, за времето, за което той ще бъде направен, организаторът на ботнета просто вече ще е започнал да използва друг адрес на портфейл.

5 4 гласа
Оценете статията
Абонирай се
Извести ме за
guest
4 Коментара
стари
нови оценка
Отзиви
Всички коментари