研究者は、Trojan.Ferretと呼ばれるボットプログラムを発見しました。このプログラムは Delphi で書かれており、ボットは HTTP 経由で CC と通信します。
UPXパッケージング、文字列難読化、仮想マシン識別、アンチデバッグ、自己改変コードなどをサポートしています。
Trojan.Ferretは、base64暗号とdifferent-or暗号を組み合わせた2つの難読化手法を用いて、攻撃者の攻撃手段を隠蔽します。悪意のあるコードベースの異なる部分には、異なる暗号化キーが使用されます。1つは悪意のあるコード文字列を暗号化するために使用され、もう1つはCCコンソールとの通信を隠すために使用されます。
Trojan.Ferretプログラムの欠点は、そのDDoSサポートが包括的ではなく、SlowlorisやApache Killerなどのアプリケーションレイヤー攻撃をサポートしていないことです。明らかに、Trojan.FerretはハイブリッドDDoS攻撃の開始には適していません。
偶然にも今週、ポーランドのCERTがLinuxとWindowsホストに感染する別のボットを発見しました。このボットは主にDNS増幅攻撃を行います。ターゲットシステムに対するDNS増幅攻撃のリソース要件を考慮すると、このゾンビは、感染に必要な帯域幅が豊富なサーバーをターゲットにしています7。
明らかに、Linuxホストが主な標的です。攻撃者は、LinuxホストにSSH辞書攻撃を仕掛けるという、かなり乱暴な方法で侵入します。それをクラックした後、彼らはログインし、ボットプログラムをダウンロードします。
ボットがターゲットシステムに感染した後、プログラムはまずDBProtectSupportというWindowsサービスに偽装し、高いTCPポートを介してCCと通信します。ボットがWindowsシステムに感染する際、最大の問題は、ボットがまず8.8.8.8にDNSクエリーリクエストを送信してCCアドレスを取得し、攻撃ターゲットの詳細が記載されたtxtファイルを取得する必要があることです。このtxtファイルを傍受することで、CCに関する情報を知ることができます。
どんな強力な東洋にも欠点はあるようです。
