Hakerzy okradają kolegów

Przeczytaj także: Ransomware celuje w handel detaliczny

Co więcej, duża różnorodność zastosowania oraz nienastręczająca problemów obsługa betabotów powodują, że ceny za nie są raczej wygórowane. Hakerzy nie byliby jednak sobą, gdyby nie znaleźli sposobu na ominięcie wysokich opłat - jest nim nieautoryzowane korzystanie z bibliotek kodu oryginalnych botów, co w znacznym stopniu przekłada się na obniżenie kosztów.

Tad Heppner z SophosLabs postanowił przyjrzeć się próbkom betabotów stworzonych przy użyciu nieautoryzowanych wzorców i sprawdzić, czego można oczekiwać po malware zawierającym komponenty serwerów botnetu. Nadrzędnym celem, który przyświecał Heppnerowi, była wnikliwa analiza sposobów, dzięki którym możliwe jest wyodrębnianie i deszyfrowanie danych konfiguracyjnych.

Heppner poprzez swoje badanie wyjaśnia, jak korzystać z kluczy kryptograficznych zakodowanych w danych konfiguracyjnych malware służących do dekodowania komunikacji między botem a serwerem dowodzenia i kontroli. Większość metod opisanych przez Heppnera skupia się na działaniu Malware Betabot 1.7.

Jak działają betaboty?

Betaboty działają równolegle do malware – nie są więc nowym zjawiskiem. W związku jednak z tym, że ich autorzy często je aktualizują i ulepszają, to wciąż pojawiają się ich nowe wersje. Obecnie najbardziej rozpowszechnioną wersją jest Betabot 1.7.

Liczba zakażeń betabotami wahała się znacząco w ostatnich latach. W tym czasie pojawiły się nowe metody dystrybucji botów do użytkowników, które skutecznie omijały zabezpieczenia antywirusowe. SophosLabs wykrył również próbki, które próbują połączyć się i kontrolować serwery bez publicznej domeny lub adresu IP, co sugeruje, że mogą one znajdować się w całości w obrębie sieci prywatnej.

Wykorzystywanie bibliotek kodu bez autoryzacji

Interfejs serwera betabotów jest łatwy w obsłudze i dlatego chętnie korzystają z niego hakerzy, którym brakuje wiedzy technicznej lub którym zwyczajnie podoba się ich struktura. Pakiety betabotów są oferowane na czarnym rynku za około 120 dolarów i zazwyczaj są nabywane bezpośrednio od autorów, po ustaleniu szczegółów transakcji.

Korzystanie z bibliotek kodu bez autoryzacji, pokazuje jednak, że hakerzy podejmują aktywności w kierunku stworzenia alternatywy dla betabotów. Tym samym, kierują oni swoje działania nie tylko na atakowanie nieświadomych użytkowników sieci, ale także na samych autorów betabotów, z zamiarem kradzieży ich złośliwego oprogramowania.

Sama szczelina składa się z aplikacji opartych na konsoli biblioteki kodu ze skomplikowanym szablonem betabota, przechowywanego, jako tablica bajtów w sekcji danych biblioteki. Choć nie jest to bezprecedensowe, zwiększona dostępność często powoduje wzrost liczby malware.

Twórcy betabotów będą walczyć

Twórcy betabotów już podjęli kroki w celu zabezpieczenia oprogramowania malware, na którym zarabiają, dodając do nich zestaw narzędzi antypirackich.

Wśród nich jest przede wszystkim proces kodowania danych konfiguracyjnych wewnątrz botów. Dane konfiguracyjne zawierają adresy serwerów URL CNC, co sprawia że bot łączy się z nim podobnie, jak klucze szyfrowania i deszyfrowania informacji przesyłanych do pojedynczego serwera CNC. Dane konfiguracyjne są szyfrowane i przechowywane są w momencie generowania ładunku w samym bocie. Złożoność tej metody nie tylko utrudnia narzędziom antywirusowym i innym zabezpieczeniom rozpakować informacje statycznie, ale także odstrasza piratów od dekodowania danych konfiguracyjnych bota zawierających zmienioną informację.

W ten sposób autorzy próbują utrzymać kontrolę nad procesem pozyskiwania nowych ładunków botów dla danego serwera CNC. Mimo, że metoda ta jest dość skomplikowana, to wciąż umożliwia dekodowanie informacji, ponieważ klucz musi być dostępny dla samego bota, by mógł on zarażać kolejne urządzenie.

Innym przykładem ciekawej technologii antypirackiej stosowanej przez autorów jest „proaktywna defensywa”, która została dodana w celu zabezpieczenia betabotów przed potencjalnym atakiem i przejęciem przez konkurencyjne wirusy, takie jak trojany zdalnego dostępu. „Aktywna defensywa” po uruchomieniu pozwala użytkownikowi na określenie informacji o konfiguracji niestandardowej, która jest następnie szyfrowana i zamieszczana w kodzie szablonu w odpowiednim położeniu. Cały plik PE jest następnie rozpakowywany, aby uniemożliwiać wykrycie przez oprogramowanie antywirusowe.

Heppner przewiduje, że betaboty nie tylko utrzymają swoją popularność, ale że wręcz będzie ona rosnąć. Hakerzy będą je wykorzystywać nie tylko w celu infekowania urządzeń, ale także do przeprowadzania skutecznych kampanii zbierających danych logowania użytkowników. Mimo, że autorzy betabotów dokładają wszelkich starań, by ich oprogramowanie nie było kopiowane, pozostaje ono łatwym celem dla naśladowców.