Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Potwierdzono istnienie botnetu Flashfake Mac OS X

Dodany 6 kwietnia 2012, 08:14 CEST
Tagi:

4 kwietnia Dr.Web poinformował o wykryciu botnetu Flashback (Flashfake) dla systemu Mac OS X. Według informacji tej firmy, szacowany rozmiar botnetu wynosi ponad 500 000 zainfekowanych Maków.

Przeprowadziliśmy analizę najnowszego warianta tego bota, którym jest Trojan-Downloader.OSX.Flashfake.ab.

Trojan ten jest rozprzestrzeniany za pośrednictwem zainfekowanych stron internetowych jako applet Java, który podszywa się pod aktualizację dla Adobe Flash Playera. Następnie Aplet Java wykonuje downloadera pierwszego etapu, który następnie pobiera i instaluje główny komponent trojana. Głównym komponentem jest trojan downloader, który nieustannie łączy się z jednym z swoich serwerów command-and-control (C&C) i czeka na pobranie i wykonanie nowych komponentów.

Bot lokalizuje swoje serwery C&C według nazw domen generowanych przy użyciu dwóch algorytmów. Pierwszy algorytm opiera się na bieżącej dacie, drugi natomiast wykorzystuje kilka zmiennych, które są przechowywane w ciele trojana i szyfrowane przy użyciu szyfru RC4 (z wykorzystaniem UUID zainfekowanego komputera).

Dokonaliśmy inżynierii wstecznej pierwszego algorytmu generowania domen i zastosowaliśmy bieżącą datę, tj. 06.04.2012, w celu wygenerowania i zarejestrowania nazwy domeny - „krymbrjasnof.com". Po zarejestrowaniu domeny mogliśmy logować żądania od botów. Ponieważ każde żądanie od botu zawiera unikatowy identyfikator sprzętu UUID, mogliśmy obliczyć liczbę aktywnych botów. Z naszych logów wynika, że w ciągu niecałych 24 godzin do naszego serwera przyłączyło się ponad 600 000 unikatowych botów. Łącznie, boty te wykorzystywały ponad 620 000 zewnętrznych adresów IP. Ponad 50% botów zostało podłączonych ze Stanów Zjednoczonych.

Rozkład geograficzny aktywnych botów Flashfake

Nie możemy ani potwierdzić, ani zaprzeczyć, że wszystkie boty, które połączyły się z naszymi serwerami, działały pod kontrolą Mac OS X. Boty mogą być zidentyfikowane tylko przy pomocy unikatowej zmiennej w ich nagłówku HTTP klienta użytkownika o nazwie „id”, reszta klienta użytkownika jest statycznie kontrolowana przez trojana. Zobacz przykład poniżej:

"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A)
Gecko/20100101 Firefox/9.0.1"

Aby uzyskać przybliżone dane szacunkowe, zastosowaliśmy pasywne techniki OS fingerprinting. Ponad 98% przychodzących pakietów sieciowych zostało najprawdopodobniej wysłanych z hostów działających pod kontrolą Mac OS X. Chociaż technika ta opiera się na heurystyce i nie jest całkowicie wiarygodna, można ją wykorzystać do szacunków typu rząd wielkości. A zatem jest bardzo prawdopodobne, że większość z maszyn, na których zainstalowano bota Flashfake, to Maki.

Przybliżony rozkład systemów operacyjnych, przy użyciu których połączono się z naszym serwerem