Кибербезопасность продолжает сталкиваться с новыми вызовами, и одной из наиболее тревожных тенденций стало появление сложных угроз, которые могут оставаться незамеченными в течение многих лет. Недавно обнаруженный бэкдор MystRodX демонстрирует именно эту способность - сочетание передовых технологий скрытности и гибкой функциональности.
Описание
История обнаружения начинается 6 июня 2025 года, когда система мониторинга угроз Xlab зафиксировала подозрительный ELF-файл dst86.bin, распространяемый с IP-адреса 139.84.156.79. Файл имел крайне низкий уровень детекта на VirusTotal - всего 4 из 65 антивирусов отметили его как подозрительный, причём большинство ошибочно идентифицировало его как вариант ботнета Mirai. Однако AI-модуль платформы не подтвердил эту классификацию, что вызвало дополнительный интерес исследователей.
Детальный анализ показал, что файл является дроппером, который развёртывает совершенно новый тип бэкдора, не связанный с Mirai. Исследователи назвали его MystRodX по ряду признаков: использованию имени dst в процессе распространения, наличию класса cmy_ в коде и многократному применению различных XOR-алгоритмов.
MystRodX реализован на C++ и предоставляет типичный для бэкдора функционал: управление файлами, порт-форвардинг, обратные shell-сессии и управление сокетами. Однако его отличают две ключевые особенности: исключительная скрытность и гибкость. Скрытность обеспечивается многоуровневым шифрованием: строки, связанные с детектированием виртуальных машин и отладчиков, шифруются single-byte XOR, тогда как AES-ключи, полезная нагрузка и активационные пакеты защищены кастомным Transform-алгоритмом. Конфигурационные файлы зашифрованы с использованием AES в режиме CBC.
Гибкость проявляется в динамической активации функций на основе конфигурации: бэкдор может работать поверх TCP или HTTP, передавать данные в открытом виде или с AES-шифрованием. Наиболее примечательной особенностью является поддержка пассивного режима, при котором бэкдор не использует открытые порты, а активируется специальными DNS или ICMP-пакетами.
Анализ конфигурации показал, что самый ранний образец был настроен на активацию 7 января 2024 года в 23:10:20. Это означает, что угроза оставалась незамеченной в течение более чем 20 месяцев. Используя платформу киберпространственного картографирования Qihoo 360, исследователи идентифицировали три активных C2-сервера и технически подтвердили наличие в дикой природе еще не обнаруженных образцов.
Пассивный режим работы представляет особый интерес. Когда в конфигурации установлен параметр Backdoor Type равным 1, MystRodX переходит в режим прослушивания RAW SOCKET, что позволяет ему активироваться без открытия портов. Активационные пакеты, замаскированные под легитимный DNS или ICMP-трафик, содержат скрытые инструкции. DNS-активация использует доменные имена вида www.DomainName.com, где DomainName представляет собой base64-кодированную и зашифрованную полезную нагрузку. Аналогично, ICMP-пакеты содержат скрытые команды в своей полезной нагрузке.
После получения корректного активационного пакета бэкдор устанавливает соединение с указанным C2-сервером и готов к выполнению команд. Это делает его чрезвычайно трудным для обнаружения стандартными средствами сетевой безопасности, такими как IDS/IPS.
Исследователи предприняли попытки активации потенциально заражённых узлов путем рассылки DNS и ICMP-пакетов по всему интернету, но не получили ответов, что может указывать на использование в реальных атаках других ключей или magic-значений. Тем не менее, три активных C2-сервера ответили на probe-запросы, подтвердив continued existence угрозы.
Любопытной деталью является использование в MystRodX RSA-ключей для шифрования команд. Обнаружены два различных ключа, связанных с кампаниями "neybquno" и "zoufkcfr". Один из активных C2-серверов, 149.28.137.254, responded командами, которые удалось расшифровать известным ключом, в то время как два других - 156.244.6.68 и 185.22.153.228 - вероятно, относятся к неизвестной кампании, что указывает на наличие необнаруженных вариантов бэкдора.
На текущий момент уровень детекта MystRodX на VirusTotal остается низким - всего 6 из 65 антивирусов, причём большинство по-прежнему ошибочно классифицирует его как Mirai. Исследователи провели experiment: удалили из образца строки, связанные с детектированием ВМ и отладчиков, и заменили их открытым текстом. Это привело к снижению детекта, что подтверждает: сигнатуры антивирусов срабатывают именно на эти артефакты, а не на core functionality бэкдора.
Dropper использует single-byte XOR для шифрования строк, причём ключом является последний байт шифротекста. Расшифрованные строки включают checks для виртуальных сред (VMware, VirtualBox, Phoenix, Innotek), отладчиков (gdb, lldb, ltrace, strace) и компонентов лаунчера.
Полезная нагрузка шифруется с использованием кастомного Transform-алгоритма, который также применяется для защиты AES-ключей и активационных пакетов. После расшифровки dropper развёртывает три файла: chargen (основной бэкдор), busybox (вспомогательные утилиты) и daytime (лаунчер).
Лаунчер обеспечивает persistence, постоянно мониторя состояние основного бэкдора и перезапуская его при необходимости. В свою очередь, MystRodX также отслеживает состояние лаунчера, создавая thus механизм взаимного восстановления.
Конфигурация бэкдора, расшифрованная с помощью AES-CBC, содержит такие параметры, как campaign name, type of backdoor, C2 addresses, ports, interval и public key. Сетевой протокол включает поля длины пакета, main code, sub code, direction и данных. Поддерживаются команды для управления shell, файлами, портами и socks-прокси, а также для обновления конфигурации и включения шифрования трафика.
MystRodX 0 это сложная угроза, сочетающая в себе передовые технологии скрытого проникновения и широкий функционал. Его способность оставаться незамеченным в течение длительного времени подчеркивает необходимость совершенствования методов обнаружения и реагирования.
Происхождение MystRodX, вектор атаки и конкретные цели пока остаются неизвестными. Исследователи призывают security community к сотрудничеству и обмену информацией для лучшего понимания этой угрозы и разработки эффективных контрмер.
Индикаторы компрометации
IPv4 Port Combinations
- 149.28.130.195:443
- 149.28.137.254:8010
- 149.28.137.254:8443
- 156.244.6.68:443
- 185.22.153.228:443
Domain Port Combinations
- airtel.vpndns.net:443
URLs
- http://139.84.156.79/dst-x86.bin
MD5
- 1f003437e3d10e07f5ee5f51c61c548f
- 2775d9eac1c4a5eb2c45453d63ea6379
- 4db35e708c2d0cabe4709fa0540bafb7
- 4dc20d1177da7932be3d63efe939b320
- 5bf67ce1b245934965557de6d37f286f
- 5e3a2a0461c7888d0361dd75617051c6
- 72d377fa8ccf23998dd7c22c9647fc2a
- a46f2c771fb580e2135ab898731be9a7
- e8fcb7f3f0edfc7d1a99918dc14527d1
- fa3b4d5fd1f6c995395244f36c18ffec