В общем-то, Mirai особо никуда и не пропадал, ведь в сети есть несколько его вариантов. Однако, специалисты по сетевой безопасности обнаружили интересный вариант Mirai, с обширными возможностями. Его нашли после анализа мощной DDoS-атаки продолжительностью в 54 часа. Судя по всему, сейчас ботнет стал мощнее, чем когда-либо.

Со времени обнаружения первой версии Mirai внимание специалистов по кибербезопасности и киберпреступников было приковано к этой системе. Ее особенность — взлом «умных» устройств, включая камеры, термостаты и прочее с последующим использованием этих девайсов в качестве ботов для осуществления DDoS атак. Первая версия Mirai включала около 400-500 тысяч подключенных устройств. Вскоре после того, как о ботнете стало известно, контроль над ним смогли захватить сторонние взломщики, судя по всему, это два человека.

Ранее сообщалось, в изначальной версии Mirai была обнаружена уязвимость. Ее нашли после того, как исходный код Mirai попал в Сеть. И за контроль над ботнетом развернулась борьба среди разного рода взломщиков. В итоге операторами ботнета стали хакер с ником BestBuy и его напарник Popopret (кстати, есть предположение, что это один и тот же человек, а вовсе не два взломщика). Жертвами DDoS-атак, проведенных этими деятелями, стали специалист по информационной безопасности Брайан Кребс, французский хостинг-провайдер OVN, компания Dyn и ряд других лиц и организаций.

В этом году, около месяца назад BestBuy был арестован в аэропорту Великобритании. Эта операция стала возможной благодаря объединению усилий правоохранительных органов Германии, Кипра, Великобритании, Европола и Евроюста. После ареста BestBuy прекратил всякое общение в сети и предполагаемый напарник Popopret. Причем время последнего выхода одного и второго киберпреступников примерно совпадает. Да и один из аккаунтов BestBuy был взломан, после чего выяснилось, что он вел общение от своего имени и от имени Propopret.

Как бы там ни было, ботнет вовсе не умер, как надеялись правоохранители. В феврале 2017 года (как раз после ареста предполагаемого оператора ботнета) в США была проведена атака на одно из учебных заведений. Как уже говорилось выше, продолжительность атаки составила более 54 часов. Это значительно отличалось от обычного времени работы Mirai, ранее продолжительность атак составляла около 24 часов и не более.

Стоит отметить, что сейчас Mirai состоит из новых устройств, которые были взломаны относительно недавно. Все элементы ботнета проводили атаку на цель с использованием HTTP-флуда. В этой атаке участвовало около 10000 устройств «Интернета вещей», включая камеры, роутеры и прочие девайсы. Их производители пока не исправили уязвимости ПО, выявленные в ходе работы первой версии Mirai, поэтому нет ничего удивительного в том, что работа Mirai снова стала возможной.

Мощность атаки была довольно большой. В секунду цель ботнета получала около 30000 HTTP запросов. Такая мощность поддерживалась в ходе всех 54 часов атаки. Вероятно, в дальнейшем мощность будет только расти, поскольку операторы (кем бы они ни были) нового Mirai совершенствуют и дорабатывают программную основу ботнета.

Последняя его версия включает 30-user agent альтернатив, это шаг вперед по сравнению с 5 у оригинального ботнета. Большее число user agents позволяет Mirai успешно противодействовать большинству мер защиты, предпринимаемыми специалистами по информационной безопасности. Разброс по IP довольно большой. Примерно 18% элементов ботнета расположено в США, 11% в Израиле и 11% в Тайване.

Сейчас остается лишь следить за дальнейшим развитием событий и гадать, какой мощности будет следующая атака. В том, что она будет, можно практически не сомневаться.

Хабрахабр

Ботнет Necurs известен как один из крупнейших ботов мира. Его владельцы задействуют мощности своего детища для рассылки огромного количества спам-сообщений. Их объем настолько большой, что работа Necurs заметно влияет на общий размер e-mail трафика во всем мире. Вообще говоря, Necurs — не просто спамбот, это достаточно опасное malware, которое заражает уязвимые системы, подтягивая основной модуль ботнета и соответствующие модули.

Существует и работает Necurs уже несколько лет. За это время он стал объектом исследования многих специалистов по информационной безопасности. Эксперты смогли узнать, какие уязвимости системы использует атакующая часть ботнета и какой протокол используется спам модулем. Но сама платформа не статична, она меняется и совершенствуется.

Около полугода назад специалисты компании Anubisnetworks обратили внимание на то, что Necurs теперь работает не только с 80 портом, но и с другими портами, которые относятся совсем к другому протоколу передачи данных. Вот пример анализа трафика Necurs.

Изучая этот аспект, специалисты компании смогли понять, что на самом деле, ботнет активизировался для того, чтобы установить в пораженных системах модуль, обеспечивающий Necurs возможность проводить DDoS атаки.

В первом случае идет установка спам-модуля, который хорошо знаком специалистам. Здесь есть упоминание С2 адресов, которые связаны с новыми спам-кампаниями. А вот во втором случае указаны параметры неизвестного доселе модуля, который ведет обмен данными с сервером через 5222 порт.

Примерная дата «релиза» этого модуля — 23 августа 2016 года. Правда, существует вероятность того, что это была предварительная версия, замененная финальной.

Сотрудники кампании скачали модуль и провели реверс-инжиниринг для того, чтобы понять, что он собой представляет. На первый взгляд, это простой SOCKS/HTTP модуль. Но если всмотреться получше, становится понятно, что у этого модуля есть возможность работы с HTTP и UDP запросами, которые ставятся в бесконечный цикл. Соответственно, становится понятно, что этот модуль предназначен для осуществления DDoS атак.

Кстати, ботнет действительно большой — инфицированных активных элементов в этой сети насчитывается более миллиона. При таком размере это очень удобный вариант для проведения DDoS атак. Некоторые зараженные элементы сети являются ее частью уже более двух лет. Столь долго ботнет продержался благодаря осторожности его владельцев, которые с осторожностью распоряжаются полученными возможностями.

Как только модуль загружается в систему-жертву. Выполняются такие действия:

* Идет парсинг параметров и настроек;

* Собирается база данных внутренних IP адресов системы, равно, как и база внешних;

* Определяется пропускная способность сети;

* Определяется случайный порт;

* Ботнет пытается выяснить, спрятана ли основная система за NAT или нет;

* Если нет, то бот запускает сервис SOCKS/HTTP для произвольного порта, большего 1024.

После инициализации бот пробует подключиться к текущему C2 каждые 10 минут. Он делает это до тех пор, пока операторы не дают команду остановиться.

Кроме того, ботнет оснащен SOCKS/HTTP модулем, что позволяет оператормам платформы использовать скомпрометированные элементы ботнета как прокси (протоколы HTTP, SOCKSv4 и SOCKSv5). Работа с прокси ведется в двух режимах: direct proxy и proxy backconnect.

Что касается первого режима, то здесь принцип работы простой:

Но работа в таком режиме возможна, только если зараженная система не скрыта за NAT или не защищена файерволом. А таких систем буквально единицы.

Что касается режима proxy backconnect, то здесь все сложнее.

Зато работа в таком режиме возможна и в том случае, если зараженная система находится за NAT или файерволом. В этом случае можно подключаться к внутренним ресурсам сети, частью которой является зараженная система. Причем подключение ведется со стороны самой системы. Еще один способ работы с такими прокси — постоянная смена IP адресов.

DDoS модуль

Но интереснее всего не прокси, а новый DDoS модуль. Он предусматривает возможность проведения базовых атак двух типов. Несмотря на то, что здесь нет никаких ухищрений вроде методов усиления атаки, масштабы бота позволяют его операторам обойтись и без хитростей.

При получении команды операторов ботнет атакует определенную цель с использованием HTTP или UDP флуда, как и указано выше.

HTTP работает в 16 параллельных потоков запросов.

Запрос формируется следующим образом.

Что касается UDP, то здесь все несколько иначе — ботнет отправляет пакеты с радомным размером от 128 до 1024 байт.

Пока что DDoS-атак с использованием Necurs не зафиксировано. Но проведение таких атак возможно в любой момент. А ведь Necurs даже больше, чем Mirai, при помощи которого злоумышленники атаковали несколько крупных телекоммуникационных организаций в разных странах мира. Правда, некоторые специалисты считают, что DDoS-модуль в Necurs предназначен не для проведения заказных атак, а для собственных нужд операторов ботнета, например, для атаки на ресурсы конкурентов.

Хабрахабр

Альтернативный вариант: