Kradzieże wśród cyberprzestępców to codzienność, czyli o kopiowaniu betabotów

22 marca, 2017

Betaboty należą do grupy malware, które przejmuje urządzenia i zmusza je do dołączenia to botnetów. Używane są do wykradania haseł i informacji bankowych, a ostatnio wykorzystywane były również w kampaniach ransomware. Niektórzy przestępcy działający online chętnie by z nich korzystali, nie wszyscy chcą jednak za nie płacić.

Ze względu na różnorodność zastosowań i łatwość w obsłudze, betaboty nie są tanie. Aby ominąć koszty związane z ich zakupem od twórców, cyberprzestępcy często korzystają bez autoryzacji z bibliotek kodu oryginalnych botów, co znacząco obniża ich koszt.

W swoim ostatnim badaniu, Tad Heppner, ekspert SophosLabs – jednostki badawczej firmy Sophos, światowego lidera w zakresie endpoint i network security – skupił się na badaniu próbek betabotów stworzonych za pomocą nieautoryzowanych wzorców i wnikliwie sprawdził możliwości malware zawierającego komponenty serwerów botnetu. Jego nadrzędnym celem było zbadanie sposobów wyodrębniania i deszyfrowania danych konfiguracyjnych.

Heppner poprzez swoje badanie wyjaśnia, jak korzystać z kluczy kryptograficznych zakodowanych w danych konfiguracyjnych malware służących do dekodowania komunikacji między botem a serwerem dowodzenia i kontroli. Większość metod opisanych przez Heppnera skupia się na działaniu malware Betabot 1.7.

Jak działają betaboty?

Betaboty działają równolegle do malware – nie są więc nowym zjawiskiem. W związku jednak z tym, że ich autorzy często je aktualizują i ulepszają, to wciąż pojawiają się ich nowe wersje. Obecnie najbardziej rozpowszechnioną wersją jest Betabot 1.7.

Liczba zakażeń betabotami wahała się znacząco w ostatnich latach. W tym czasie pojawiły się nowe metody dystrybucji botów do użytkowników, które skutecznie omijały zabezpieczenia antywirusowe. SophosLabs wykrył również próbki, które próbują połączyć się i kontrolować serwery bez publicznej domeny lub adresu IP, co sugeruje, że mogą one znajdować się w całości w obrębie sieci prywatnej.

betabot1
Wykrywalność w czasie betabotów przez Sophos Lab.

Wykorzystywanie bibliotek kodu bez autoryzacji

Interfejs serwera betabotów jest łatwy w obsłudze i dlatego jest chętnie używany przez tych cyberprzestępców, którym brakuje wiedzy technicznej lub którym zwyczajnie podoba się ich struktura. Pakiety betabotów są oferowane na czarnym rynku za około 120 dolarów i zazwyczaj są nabywane bezpośrednio od autorów, po ustaleniu szczegółów transakcji.

Korzystanie z bibliotek kodu bez autoryzacji, pokazuje jednak, że cyberprzestępcy podejmują aktywności w kierunku stworzenia alternatywy dla betabotów. Tym samym, kierują oni swoje działania nie tylko na atakowanie nieświadomych użytkowników sieci, ale także na samych autorów betabotów, z zamiarem kradzieży ich złośliwego oprogramowania.

betabot2
Zcrackowany konfigurator betabotów.

Sama szczelina składa się z aplikacji opartych na konsoli biblioteki kodu ze skomplikowanym szablonem betabota, przechowywanego, jako tablica bajtów w sekcji danych bilbioteki. Choć nie jest to bezprecedensowe, zwiększona dostępność często powoduje wzrost liczby malware.

Twórcy betabotów będą walczyć

betabot3
Twórcy betabotów już podjęli kroki w celu zabezpieczenia oprogramowania malware, na którym zarabiają, dodając do nich zestaw narzędzi antypirackich.

Wśród nich jest przede wszystkim proces kodowania danych konfiguracyjnych wewnątrz botów. Dane konfiguracyjne zawierają adresy serwerów URL C&C, co sprawia że bot łączy się z nim podobnie, jak klucze szyfrowania i deszyfrowania informacji przesyłanych do pojedynczego serwera C&C. Dane konfiguracyjne są szyfrowane i przechowywane są w momencie generowania ładunku w samym bocie. Złożoność tej metody nie tylko utrudnia narzędziom antywirusowym i innym zabezpieczeniom rozpakować informacje statycznie, ale także odstrasza piratów od dekodowania danych konfiguracyjnych bota zawierających zmienioną informację.

W ten sposób autorzy próbują utrzymać kontrolę nad procesem pozyskiwania nowych ładunków botów dla danego serwera C&C. Mimo, że metoda ta jest dość skomplikowana, to wciąż umożliwia dekodowanie informacji, ponieważ klucz musi być dostępny dla samego bota, by mógł on zarażać kolejne urządzenie.

Innym przykładem ciekawej technologii antypirackiej stosowanej przez autorów jest „proaktywna defensywa”, która została dodana w celu zabezpieczenia betabotów przed potencjalnym atakiem i przejęciem przez konkurencyjne wirusy, takie jak trojany zdalnego dostępu. „Aktywna defensywa” po uruchomieniu pozwala użytkownikowi na określenie informacji o konfiguracji niestandardowej, która jest następnie szyfrowana i zamieszczana w kodzie szablonu w odpowiednim położeniu. Cały plik PE jest następnie rozpakowywany, aby uniemożliwiać wykrycie przez oprogramowanie antywirusowe.

Heppner przewiduje, że betaboty nie tylko utrzymają swoją popularność, ale że wręcz będzie ona rosnąć. Wykorzystywane będą one nie tylko w celu infekowania urządzeń, ale także do przeprowadzania skutecznych kampanii zbierających danych logowania użytkowników. Mimo, że autorzy betabotów dokładają wszelkich starań, by ich oprogramowanie nie było kopiowane, pozostaje ono łatwym celem dla naśladowców.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]