Hakerzy piracą hakerów – licencje na betaboty są za drogie?

Hakerzy piracą hakerów – licencje na betaboty są za drogie?21.03.2017 13:44

Betaboty należą do grupy malware, które przejmuje urządzenia i zmusza je do dołączenia do botnetów. Używane są do wykradania haseł i informacji bankowych, a ostatnio wykorzystywane były również w kampaniach ransomware. Niektórzy przestępcy działający online chętnie by z nich korzystali, nie wszyscy chcą jednak za nie płacić.

Ze względu na różnorodność zastosowań i łatwość w obsłudze, betaboty nie są tanie. Aby ominąć koszty związane z ich zakupem od twórców, cyberprzestępcy często korzystają bez autoryzacji z bibliotek kodu oryginalnych botów, co znacząco obniża ich koszt.

W swoim ostatnim badaniu, Tad Heppner, ekspert SophosLabs – jednostki badawczej firmy Sophos, światowego lidera w zakresie endpoint i network security – skupił się na badaniu próbek betabotów stworzonych za pomocą nieautoryzowanych wzorców i wnikliwie sprawdził możliwości malware zawierającego komponenty serwerów botnetu. Jego nadrzędnym celem było zbadanie sposobów wyodrębniania i deszyfrowania danych konfiguracyjnych.

Heppner poprzez swoje badanie wyjaśnia, jak korzystać z kluczy kryptograficznych zakodowanych w danych konfiguracyjnych malware służących do dekodowania komunikacji między botem a serwerem dowodzenia i kontroli. Większość metod opisanych przez Heppnera skupia się na działaniu Malware Betabot 1.7.

Jak działają betaboty?

Betaboty działają równolegle do malware – nie są więc nowym zjawiskiem. W związku jednak z tym, że ich autorzy często je aktualizują i ulepszają, to wciąż pojawiają się ich nowe wersje. Obecnie najbardziej rozpowszechnioną wersją jest Betabot 1.7.

Liczba zakażeń betabotami wahała się znacząco w ostatnich latach. W tym czasie pojawiły się nowe metody dystrybucji botów do użytkowników, które skutecznie omijały zabezpieczenia antywirusowe. SophosLabs wykrył również próbki, które próbują połączyć się i kontrolować serwery bez publicznej domeny lub adresu IP, co sugeruje, że mogą one znajdować się w całości w obrębie sieci prywatnej.

Wykorzystywanie bibliotek kodu bez autoryzacji

Interfejs serwera betabotów jest łatwy w obsłudze i dlatego jest chętnie używany przez tych cyberprzestępców, którym brakuje wiedzy technicznej lub którym zwyczajnie podoba się ich struktura. Pakiety betabotów są oferowane na czarnym rynku za około 120 dolarów i zazwyczaj są nabywane bezpośrednio od autorów, po ustaleniu szczegółów transakcji.

Korzystanie z bibliotek kodu bez autoryzacji, pokazuje jednak, że cyberprzestępcy podejmują aktywności w kierunku stworzenia alternatywy dla betabotów. Tym samym, kierują oni swoje działania nie tylko na atakowanie nieświadomych użytkowników sieci, ale także na samych autorów betabotów, z zamiarem kradzieży ich złośliwego oprogramowania.

Sama szczelina składa się z aplikacji opartych na konsoli biblioteki kodu ze skomplikowanym szablonem betabota, przechowywanego, jako tablica bajtów w sekcji danych biblioteki. Choć nie jest to bezprecedensowe, zwiększona dostępność często powoduje wzrost liczby malware.

Twórcy betabotów będą walczyć

Twórcy betabotów już podjęli kroki w celu zabezpieczenia oprogramowania malware, na którym zarabiają, dodając do nich zestaw narzędzi antypirackich.

Wśród nich jest przede wszystkim proces kodowania danych konfiguracyjnych wewnątrz botów. Dane konfiguracyjne zawierają adresy serwerów URL CNC, co sprawia że bot łączy się z nim podobnie, jak klucze szyfrowania i deszyfrowania informacji przesyłanych do pojedynczego serwera CNC.

Dane konfiguracyjne są szyfrowane i przechowywane są w momencie generowania ładunku w samym bocie. Złożoność tej metody nie tylko utrudnia narzędziom antywirusowym i innym zabezpieczeniom rozpakować informacje statycznie, ale także odstrasza piratów od dekodowania danych konfiguracyjnych bota zawierających zmienioną informację.

W ten sposób autorzy próbują utrzymać kontrolę nad procesem pozyskiwania nowych ładunków botów dla danego serwera CNC. Mimo, że metoda ta jest dość skomplikowana, to wciąż umożliwia dekodowanie informacji, ponieważ klucz musi być dostępny dla samego bota, by mógł on zarażać kolejne urządzenie.

Innym przykładem ciekawej technologii antypirackiej stosowanej przez autorów jest „proaktywna defensywa”, która została dodana w celu zabezpieczenia betabotów przed potencjalnym atakiem i przejęciem przez konkurencyjne wirusy, takie jak trojany zdalnego dostępu. „Aktywna defensywa” po uruchomieniu pozwala użytkownikowi na określenie informacji o konfiguracji niestandardowej, która jest następnie szyfrowana i zamieszczana w kodzie szablonu w odpowiednim położeniu. Cały plik PE jest następnie rozpakowywany, aby uniemożliwiać wykrycie przez oprogramowanie antywirusowe.

Heppner przewiduje, że betaboty nie tylko utrzymają swoją popularność, ale że wręcz będzie ona rosnąć. Wykorzystywane będą one nie tylko w celu infekowania urządzeń, ale także do przeprowadzania skutecznych kampanii zbierających danych logowania użytkowników. Mimo, że autorzy betabotów dokładają wszelkich starań, by ich oprogramowanie nie było kopiowane, pozostaje ono łatwym celem dla naśladowców.

Aby dowiedzieć się więcej na temat betabotów i sposobach ich zabezpieczania, warto zapoznać się z pełnym raportem Sophos Labs.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na