Обнаружен ботнет, скрывающийся за постоянно меняющимся адресом
Новый ботнет использует для подключения ботов к C&C-серверу сервис ngrok.com.
Команда исследователей Netlab китайской компании Qihoo 360 обнаружила необычный ботнет, используемый для майнинга криптовалюты. Его главное отличие от других ботнетов заключается в том, что боты подключаются к удаленному серверу не напрямую, а через сервис ngrok.com. Сайт ngrok представляет собой простой обратный прокси-сервер, позволяющий пользователям подключаться к серверам, расположенным за межсетевыми экранами или на локальных машинах без публичного IP-адреса. Сервис пользуется большой популярностью у корпоративного сектора, так как с его помощью сотрудники могут подключаться к внутренним сетям своих компаний. Кроме того, им пользуются независимые разработчики, чтобы показывать заказчикам разрабатываемые ими приложения.
Как правило, пользователь развертывает сервер на своем локальном компьютере, регистрируется на сайте ngrok.com и получает публичный URL-адрес в виде [произвольная_строка].ngrok.io. Эту ссылку, к примеру, разработчик может предоставить своему заказчику для предварительного просмотра разрабатываемого проекта.
Исследователи Netlab обнаружили ботнет, чей C&C-сервер расположен за сетью прокси-серверов ngrok. Помимо прочего, C&C-сервер получил хорошую защиту от попыток его отключить. Это возможно благодаря тому, что URL-адреса ngrok остаются online только в течение 12 часов, поэтому к тому времени, как ИБ-эксперты обнаружат URL-адрес C&C-сервера, он уже изменится. Таким образом, ботнет более живуч, чем его «собратья» с C&C-серверами на популярных хостинговых платформах.
Ботнет состоит из четырех основных компонентов: модуля Scanner для поиска уязвимых приложений, Reporter, отвечающего за установку соединения между клиентом и сервером, Loader для загрузки и заражения хоста и Miner для майнинга криптовалюты за счет ресурсов зараженного сервера. Есть также модуль для поиска кошельков Ethereum, однако он не активен. Еще один компонент внедряет майнер криптовалюты Coinhive во все активные JavaScript-файлы на сервере, а значит, ботнет также майнит Monero за счет посетителей сайтов, расположенных на зараженном сервере.
В настоящее время вредонос заражает такие приложения и системы управления контентом, как Drupal, ModX, Docker, Jenkins, Redis и CouchDB.