Обнаружен многоцелевой fast-flux ботнет
Akamai Technologies опубликовала результаты анализа 14-тысячного ботнета, используемого злоумышленниками для разных нужд. В целях повышения жизнестойкости бот-сети его владельцы используют технологию динамической перерегистрации IP-адресов, доменов и даже DNS-серверов.
Эта технология, известная как fast flux, обеспечивает быструю ротацию большого числа IP или доменов, по которым боты связываются с центром управления, и, таким образом, помогает уберечь C&C от обнаружения и блокировки. В данном случае смене подвергаются также DNS-серверы, коих эксперты насчитали более 15-ти. Почти все они зарегистрированы недавно и под фальшивыми именами, притом эти персонажи якобы проживают в разных странах
Как оказалось, большинство IP-адресов, ассоциированных с данным ботнетом, прописаны в Восточной Европе — на Украине, в Румынии, России. Остальные выделены американским компаниям списка Fortune 100 и, по мнению исследователей, не являются активными участниками бот-сети, а используются как прикрытие.
Организационно ботнет разделен на две подсети, которые используются по-разному: одна — для проксирования командного трафика, другая — для размещения вредоносных бинарников, фишинговых сайтов и площадок, торгующих крадеными идентификаторами и данными кредитных карт.
Из зловредов экспертам удалось идентифицировать несколько дропперов и даунлоудеров, детектируемых многими антивирусами как троянские программы. Одна из них, проанализированная в Akamai, распространяется через документы Word с вредоносным макросом, запускающим JavaScript. Как показало исследование, C&C-серверы этих троянцев тоже хотятся в fast-flux сети.
Несколько зараженных машин, входящих в ботнет, по всей видимости, используются не только как серверы, но также для проведения веб-атак: SQL-инъекций, скрытного сбора данных с сайтов, брутфорс-взлома и т.д.