Ботнет на Redis и Orientdb принес хозяевам около $1 млн.
Исследователи из Qihoo 360 обнаружили еще одну бот-сеть, используемую для майнинга Monero. По данным китайской ИБ-компании, ботнет, нареченный DDG, был введен в строй в марте прошлого года; в настоящее время в его состав входят около 4,4 тыс. зараженных серверов Redis и OrientDB.
Лежащий в основе DDG зловред был создан не позднее конца 2016 года и с тех пор постоянно обновляется. Этот бот атакует веб-серверы перебором паролей к SSH и Redis по словарю; в случае с OrientDB он производит сканирование портов 2480 и использует уязвимость удаленного исполнения кода CVE-2017-11467.
«DDG нацелен на серверы баз данных, так как они обычно обладают более производительными ЦП и большим объемом памяти, что сулит больше мощностей для майнинга», — пояснил журналистам Bleeping Computer эксперт Qihoo 360 Ли Фэн Пэй (Li Fengpei).
Судя по участившимся жалобам администраторов, последние три месяца DDG проявляет повышенную активность.
Анализ образцов вредоносного кода показал, что ботоводы используют три криптокошелька, на которых уже суммарно скопилось 5823 XMR (более 1 млн долларов по текущему курсу).
Исследователям удалось зарегистрировать и подменить по методу sinkhole два из трех C&C-доменов, используемых одной из версий DDG; соответствующие IP-адреса принадлежат индийскому и гонкогскому AS-провайдерам. За две недели команда Qihoo 360 насчитала 4391 IP-адрес, запрашивающий подставные домены. Как оказалось, большинство зараженных машин (73%) размещены в Китае, 11% — в США. Подавляющее большинство заражений, по всем признакам, приходится на долю Redis (88%), 11% — на OrientDB.
Через 20 дней операторы DDG обнаружили подмену и обновили код DDG, а также сменили все IP и домены, в том числе захваченные Qihoo 360. Двадцать пятого января они вновь произвели обновление, и на ботнет начал загружаться вариант Mirai.
По словам репортера Bleeping Computer, данный ботнет не столь велик, как Smominru, но имеет большой потенциал: благодаря простой организации его операторы могут изменять параметры за считаные минуты. После заражения на сервер загружается кронтаб (файл-расписание для службы Cron) в обеспечение постоянного присутствия зловреда, а затем каждые пять минут с двух удаленных IP-адресов загружается и запускается файл i.sh. Последний содержит еще один набор команд для загрузки основного компонента DDG вместе со списком IP, на которых доступен файл wnTKYg — целевой майнер. Таким образом, с помощью i.sh злоумышленники могут спускать на ботнет любую полезную нагрузку — об этом свидетельствует недавнее появление Mirai.