Mylobot Botnet IOCs

botnet IOC

Mylobot - это вредоносная программа, нацеленная на системы Windows, она впервые появилась в 2017 году и до сих пор не привлекала особого внимания. В этой статье мы сосредоточимся на его основной способности - превращении зараженной системы в прокси-сервер. Мы также посмотрим, как он распространяется и каковы возможности его загрузчика. Мы попытаемся установить связь между Mylobot и BHProxies (прокси-сервис) и, наконец, представим телеметрию, которую нам удалось собрать с тех пор, как BitSight начали отслеживать его в 2018 году.

Mylobot Botnet

Первый найденный образец Mylobot имеет размер 106496 байт и временную метку компиляции 20 октября 2017 года. На тот момент вредоносная программа состояла из трех различных этапов, причем третий этап был собственно полезной нагрузкой прокси-бота Mylobot и отвечал за сетевые коммуникации.

Первая версия Mylobot имела очень уникальный сетевой отпечаток. В образец обычно встраивается более 1000 жестко закодированных доменов, в основном заканчивающихся доменом верхнего уровня (TLD) .ru или .com. Все домены выглядят так, как будто они были сгенерированы каким-то алгоритмом генерации доменов (DGA). Обзор некоторых жестко закодированных доменов:

  • agnxomu.com:8881
  • cnoyucn.com:9426
  • csxpzlz.com:5778
  • fmniltb.com:9582
  • fnjxpwy.com:3863
  • mdcqrxw.com:4984
  • mynfwwk.com:8427
  • oapwxiu.com:3922
  • pseyumd.ru:5492
  • qhloury.com:4759
  • stydodo.ru:2619
  • tpwtgyw.com:9631
  • tqzknrx.com:1123
  • uuitwxg.com:6656
  • wcagsib.com:3547
  • wlkjopy.com:8778
  • zdrussle.ru:2173

Для каждого из этих доменов образец пытается подключиться ко многим его поддоменам. Большинство поддоменов начинается с буквы x, w или m, за которой следует цифра. В данном примере первым жестко закодированным доменом является fywkuzp[.]ru:7432, и мы можем наблюдать, как зараженная машина пытается подключиться к следующим доменам:

  • m1.fywkuzp[.]ru:7432
  • m2.fywkuzp[.]ru:7432
  • m42.fywkuzp[.]ru:7432

В итоге Mylobot производит тысячи DNS-запросов, что делает его довольно шумным. Если образец успешно подключается к одному из этих доменов, он держит соединение открытым и ждет команды от командно-контрольного сервера (C2).

Когда Mylobot получает инструкцию от C2, он превращает зараженный компьютер в прокси-сервер. Зараженный компьютер сможет обрабатывать множество соединений и ретранслировать трафик, передаваемый через командно-контрольный сервер.

В 2018 году BitSight начали видеть, как прокси-бот Mylobot распространяется новым образцом вредоносного ПО.

Этот новый двоичный файл имеет много сходств с Mylobot, но последний этап действует как загрузчик. Давайте начнем с выявления сходства между этим новым образцом и образцом прокси-бота Mylobot, а также опишем, как он загружает Mylobot на зараженную систему.

Первое, что следует отметить, это то, что новый образец использует WillExec, тот же дроппер, который используется для образцов Mylobot. Сброшенный файл выполняет антивирусную проверку виртуальной машины и пытается удалить другие вредоносные программы, запущенные в системе, после чего подключается к командно-контрольной системе и загружает следующие этапы. Этот образец был хорошо описан компанией Minerva, поэтому мы не будем вдаваться в излишние подробности.

Загрузчик имеет огромный список жестко закодированных зашифрованных командно-контрольных доменов (более 1000).

Эти домены зашифрованы AES-ECB ключом GD!brWJJBeTgTGSgEFB/quRcfCkBHWgl, и, вероятно, были сгенерированы с помощью того же DGA, о котором говорилось в первой части этого поста. Действительно, существует сильное сходство между доменными именами загрузчика Mylobot и прокси Mylobot.

Программа загрузки расшифровывает домены во время выполнения и пытается подключиться к поддомену buy1, v1 или up1 (в зависимости от образца) этих доменов. В итоге он пытается подключиться к следующим доменам:

  • v1.flkpuod[.]ru:5796
  • v1.iqaagar[.]ru:2919
  • v1.fchbwme[.]ru:7533
  • ...

Командно-контрольный сервер отвечает зашифрованным AES сообщением, которое при расшифровке содержит ссылку для загрузки следующего этапа.

И снова, поскольку найденный BitSight образец содержит множество жестко закодированных доменных имен, BitSight начали отслеживать некоторые из них, чтобы получить общее представление о ботнете.

Загруженная полезная нагрузка представляет собой образец Mylobot, встроенный в дроппер WillExec, таким же образом он распространялся в 2017 году. Мы видели, как загрузчик Mylobot распространял другие образцы, кроме прокси-бота Mylobot (пример показывает Minerva), но это было довольно редко.

Что касается загружаемого образца Mylobot, то за прошедшие годы он не претерпел значительных изменений. Единственное серьезное изменение - это количество командных и управляющих доменов, жестко закодированных в бинарном файле, которое увеличилось с ~1000 в первых версиях до всего 3 с начала 2022 года:

  • fywkuzp[.]ru:7432
  • dealpatu[.]ru:8737
  • rooftop7[.]ru:8848

BitSight решили сделать обзор инфраструктуры Mylobot. Мы начали с просмотра 3 доменных имен, используемых в последней версии прокси. Начав с домена fywkuzp[.]ru, BitSight просмотрели IP-адреса, на которые указывали поддомены от m0.fywkuzp[.]ru до m42.fywkuzp[.]ru. BitSight удалось выявить 25 IP-адресов, которые использовались в период с 2017 по 2022 год, все они связаны с облачными провайдерами из Нидерландов (worldstream.nl), Литвы (cherryservers.com) и Латвии (bite.lv).

BitSight искали другие доменные имена, указывающие на эти IP-адреса. Неудивительно, что BitSight нашли другие поддомены fywkuzp[.]ru, которые использовали другие префиксы (w5.fywkuzp[.]ru, x6.fywkuzp[.]ru,...), а также другие домены Mylobot (pseyumd[.]ru, stydodo[.]ru, zdrussle[.]ru).

Один домен привлек внимание в ходе исследования благодаря своему названию: clients.bhproxies[.]com. С 22 июня 2016 года по 17 сентября 2017 года этот домен разрешался на IP-адрес 46.166.173.180. На следующий день (18 сентября 2017 года) clients.bhproxies[.]com начал разрешаться до 109.236.80.135, а up1.pseyumd[.]ru (домен, используемый Mylobot) - до 46.166.173.180. В течение следующих месяцев многие домены Mylobot будут разрешаться на этот IP-адрес.

Сайт bhproxies[.]com довольно четко указывает: он предоставляет услугу "Backconnect residential proxies'', с IP-адресами со всего мира. Они упоминают, что могут предоставлять клиентам индивидуальные пакеты, включающие до 150 000 уникальных IP-адресов.

Indicators of Compromise

IPv4

  • 109.236.82.28
  • 109.236.83.166
  • 109.236.91.239
  • 116.202.114.236
  • 144.76.8.93
  • 168.119.15.229
  • 178.132.2.82
  • 178.132.3.12
  • 190.2.134.165
  • 194.88.105.108
  • 194.88.106.18
  • 217.23.12.50
  • 217.23.12.80
  • 217.23.13.104
  • 217.23.8.12
  • 37.48.112.111
  • 49.12.128.180
  • 49.12.128.181
  • 62.112.11.245
  • 89.38.96.14
  • 89.38.96.140
  • 89.38.98.47
  • 89.38.98.48
  • 89.39.104.201
  • 89.39.104.58
  • 89.39.104.62
  • 89.39.105.47
  • 89.39.107.82
  • 89.39.107.92
  • 91.229.23.112
  • 95.168.169.43
  • 95.211.140.149
  • 95.211.198.102
  • 95.211.203.197

SHA256

  • 03b2164da6318fff63b6cad2fc613c3d885bd65432a7b8744c2b1709f2f9a479
  • 11fc02dd825c8e67d58cc40a47e3f4c572097bd58c6aae80591a5fb73b9167f2
  • 2ae61c8c2a8e83cde33f38b89599032a6fb455256aa414a15f2724c94d3460d2
  • 392f1054815c5f805d50b60ea261210012bdda386158a1da92d992a929eb77c2
  • 40cfb7b7fad1602276ebf3fa63514ba91be6186d5d3bd190f593bdec0b6d8d64
  • 69a36e6f12b4e9b9cd15528a068385f2311b0c540336c142aabdd73c2a2e2015
  • 84733af3b60b966042d5cd17e12fd8d90650e0731297d203bd913dc5c663b91c
  • a63a5639d0cb6a10f7af5bd0dd30ca1800958a0f5bb47f358b6d37f51d0f0a31
  • ad53ad1d3e4ac4cc762f596af8855fd368331d9da78f35d738ae026dd778eb9f
  • cfde42903367d77ab7d5f7c2a8cfc1780872d6f1bfac42e9c2577dfd4b6cdeb2
  • fcdb7247aa6e41ff23dc1747517a3682e5a89b41bfd0f37666d496a1d3faa4ba
SEC-1275-1
Добавить комментарий