Исследователи раскрыли устройство ботнета xlabs_v1: угроза для миллионов устройств с включенным Android Debug Bridge

В ходе планового мониторинга аналитики обратили внимание на сервер, расположенный в Нидерландах. На нем находился веб-интерфейс без какой-либо аутентификации, через который можно было скачать файлы. Внутри были обнаружены два исполняемых файла ELF, пакет для заражения, прокси-сервер и заготовка с целями. Один из файлов - отладочная версия для архитектуры x86-64 - не был "упакован" и содержал полные имена функций и строки. Сравнив его с боевым экземпляром для ARM32, исследователи восстановили всю логику работы вредоносной программы, включая расшифровку строк через шифр ChaCha20.

Ключевой вектор заражения - Android Debug Bridge (ADB), работающий на стандартном порту TCP/5555. Это отладочный интерфейс, который часто оставлен включённым на Android-телевизорах, приставках, smart-телевизорах, роутерах и другом IoT-оборудовании. Специалисты отмечают, что в Сети сейчас доступно более четырёх миллионов устройств с открытым портом 5555. Каждое из них потенциально может стать частью ботнета.

Сам ботнет построен на базе известного семейства вредоносных программ Mirai. Однако xlabs_v1 - это не просто копия. Оператор, который называет себя Tadashi, реализовал 21 вариант атак, охватывающих протоколы TCP, UDP и сырые (raw) пакеты. Среди них - специальные модификации, замаскированные под трафик OpenVPN или использующие протокол RakNet для атак именно на Minecraft. Каждая атака может обходить типовую защиту малого и среднего бизнеса.

Особое внимание разработчик уделил контролю качества. После заражения бот выполняет профилирование пропускной способности устройства. Он открывает 8 192 параллельных сокета к ближайшему серверу для тестирования скорости, измеряет мегабиты в секунду и отправляет результат на командный центр (C2). На основе этих данных оператор назначает цену за аренду устройства для DDoS-атаки. Это прямое свидетельство коммерческой направленности ботнета.

Вредоносная программа также активно борется с конкурентами. В её коде заложена процедура поиска и уничтожения процессов, которые занимают порты и могут быть другими ботнетами. В частности, жёстко прописан порт 24936, который, по-видимому, используется одним из соперников. Такой подход гарантирует, что заражённое устройство не будет делить пропускную способность с чужой нагрузкой.

Технически бот использует умеренные меры защиты. Коммуникация с командным центром не шифруется транспортным уровнем (TLS), но служебные строки - включая домен C2, имя оператора и токен аутентификации - защищены шифром ChaCha20. Как выяснили исследователи, ключ шифрования оказался очень слабым (всего пять эффективных бит на байт), и вся таблица строк была расшифрована на основе одного известного слова. Тем не менее, этот слой всё равно замедлил бы анализ для менее подготовленных команд. Ещё один интересный элемент - система отказоустойчивости. Если бот не может связаться с основным C2 через канал управления, он переключается на "запасной" режим: открывает на устройстве порт 26721 и начинает действовать как SOCKS-прокси, позволяя оператору подключаться к нему в обход блокировок.

Инфраструктура ботнета оказалась компактной. Весь инструментарий - от сервера распространения до командного центра - сосредоточен в одной небольшой подсети /24 (диапазон 176.65.139[.]0/24), арендованной у провайдера Offshore LC в Нидерландах. В этой же подсети обнаружены серверы, распространяющие майнер криптовалюты Monero (инструмент VLTRig). [Отчёт исследователей указывает на возможную связь между двумя кампаниями, однако нельзя исключать, что это просто совпадение в условиях "терпимого к злоумышленникам" хостинга.

Выводы однозначны: перед нами серийный преступный бизнес, нацеленный на владельцев дешёвых IoT-устройств и операторов небольших игровых серверов. Разработчик использует готовую платформу Mirai, добавив к ней ряд улучшений, делающих сеть более управляемой и прибыльной. Отсутствие серьёзной криптографии на канале управления и грубая ошибка с публичным доступом к отладочным файлам говорят о том, что оператор не является экспертом высокого уровня. Однако его детище представляет реальную угрозу: миллионы домашних Android-телевизоров, роутеров и приставок с включенным ADB могут быть рекрутированы в ботнет за считанные минуты после сканирования порта.

Для специалистов по безопасности это событие - ещё одно напоминание о важности базовых мер: отключение ненужных отладочных интерфейсов на устройствах, использование брандмауэров и своевременное обновление прошивок. Рядовым пользователям стоит проверить, не открыт ли у них порт 5555, и при возможности отключить ADB. Качественная защита от DDoS - тема отдельная, но даже простые действия могут лишить злоумышленников лёгкой добычи.

IPv4

• 176.65.139.134
• 176.65.139.42
• 176.65.139.44
• 176.65.139.9

CIDRs

• 176.65.139.0/24

Domains

• gate.decodo.com
• pool.hashvault.pro
• xlabslover.lol

SHA256

• 079ae4f813939dd96b961ae288fb7f930649dfebb4884c13af95309a71f986f5
• 31a60f9e0b5b4f0371f4130a184e27f79cefacb080a6273ccb1c9a908dc6ca9d
• 8367daa8ce633724157b8edd21d625de5ac56b8c2d983bbb283836162037f3c1
• a03705fc225dbcec7e3c2f06a258afe81b5d88aaff1368d10dd6ba4f0932be7c
• f962cb443975065b91d4512a42a529a091726e1815be28ced0ebb9dff997931d
• fa965ed784f7ec99e21475205cc177bb71ac7550b4015b4a4b3e232f032dcb91