P2P-ботнет атакует компьютеры под управлением Windows

Специалисты по информационной безопасности обнаружили новый ботнет, применяющий для управления вредоносной сетью и поиска новых целей p2p-соединение. Клиент получил название IPStorm и использует легитимную пиринговую систему IPFS, чтобы скрыть свой трафик от антивирусных сканеров. Программа способна доставлять на инфицированную машину и скачивать с нее файлы и выполнять на хосте сторонние PowerShell-сценарии.

Как выяснили ИБ-аналитики, зловред нацелен на ПК под управлением Windows и оперирует библиотекой libp2p, которая применятся для создания одноранговой сети и первоначальной загрузки в файловой системе IPFS. Дистрибутив программы имеет размер около 15 Мб и формирует название целевого каталога, используя предопределенный список имен, а также случайно сгенерированную последовательность символов.

Попав на целевое устройство, IPStorm собирает и отправляет злоумышленникам сведения о системе, включающие имя пользователя и UID. Для обхода механизмов безопасности зловред применяет распределение памяти, формируя несколько массивов размером 3 Мб. Кроме того, программа добавляет свой процесс в список исключений брандмауэра, чтобы получить возможность беспрепятственно взаимодействовать с другими узлами пиринговой сети.

В отличие от традиционных клиент-серверных ботнетов, IPStorm не имеет центра управления, а команды передаются от одного узла другому. Такая схема сложнее в реализации, однако позволяет киберпреступникам действовать незаметно, маскируясь в легитимном p2p-трафике.

Зловред написан на языке Go. ИБ-специалисты считают, что программа находится на начальных стадиях разработки и в дальнейшем получит новые вредоносные функции. Как отмечают исследователи, скорее всего, авторы используют для создания Windows-приложений компьютеры под управлением macOS и позже смогут портировать IPStorm на другие платформы.

Ботнеты все чаще уходят от клиент-серверной схемы работы и создают одноранговые системы с использованием p2p-протоколов. В январе этого года такую возможность получили клиенты вредоносной сети DDG. Программа использует жестко заданный список нодов, через которые хосты подключаются к пиринговому обмену и получают команды злоумышленников.

Источник: https://threatpost.ru/p2p-botnet-attacks-windows-computerrs/33111/