Закат эпохи традиционных ботнетов: вредоносная программа Aeternum использует блокчейн Polygon для неуязвимого управления

Традиционные ботнеты, будь то Emotet, TrickBot или QakBot, всегда имели «ахиллесову пяту» - централизованную инфраструктуру командных серверов. Их обнаружение и ликвидация позволяли правоохранительным органам и компаниям информационной безопасности парализовать всю сеть. Однако Aeternum устраняет эту слабость радикально, как следует из анализа Qrator Research Lab. Вместо серверов он хранит команды в смарт-контрактах на блокчейне Polygon, широко используемом децентрализованными приложениями, такими как крупнейший рынок прогнозов Polymarket. Это превращает канал управления в децентрализованный, неизменяемый и общедоступный ресурс, который невозможно «выключить» силами одного провайдера или регулятора.

Механизм работы Aeternum технически элегантен. Это загрузчик, написанный на C++, доступный в сборках для 32- и 64-битных систем. Его панель управления, представляющая собой веб-интерфейс, позволяет оператору выбирать смарт-контракт, тип команды (для всех ботов, для конкретного устройства по идентификатору оборудования или для загрузки DLL) и указывать URL полезной нагрузки. После подтверждения команда записывается в блокчейн как транзакция. Заражённые устройства, опрашивая публичные RPC-узлы (remote procedure call - протокол удалённого вызова процедур) блокчейн-сети, получают эти инструкции. По заявлениям продавца, все онлайн-боты получают новые команды в течение двух-трёх минут, что сопоставимо или даже лучше по скорости, чем в одноранговых сетях. После подтверждения транзакции команда становится нестираемой и может быть изменена только владельцем криптокошелька, что обеспечивает высокую устойчивость управления.

Эта модель кардинально меняет уравнение в борьбе с ботнетами. Традиционные сети опираются на предсказуемую инфраструктуру: жёстко заданные IP-адреса, доменные имена или известные пиры в P2P-сетях. Каждый из этих элементов - мишень для защитников. Регистраторы могут заморозить домены, хостинг-провайдеры - заблокировать IP-адреса, а правоохранители - изъять физические серверы. Aeternum обходит все эти препятствия. Его команды хранятся в публичном блокчейне, реплицируются на тысячи узлов по всему миру и доступны через любой из более чем 50 предустановленных RPC-эндпоинтов. Нет единого сервера для изъятия, нет домена для блокировки, нет провайдера для принудительных действий. Данные распределены по всей сети Polygon по определению, что делает традиционные стратегии ликвидации бесполезными.

Исторический прецедент уже существует. В декабре 2021 года Google удалось на 78% сократить активность ботнета Glupteba, изъяв его серверы и домены. Однако этот ботнет использовал блокчейн Bitcoin в качестве резервного канала управления, храня зашифрованные домены для отката в данных транзакций. В течение полугода сеть восстановилась с новой силой. Ключевое отличие в том, что Glupteba использовал блокчейн лишь как запасной вариант, тогда как Aeternum строит на нём всю систему управления с самого начала, не оставляя традиционной инфраструктуры как основной цели для атаки.

Экономика вопроса усугубляет ситуацию. Aeternum продаётся либо как пожизненная лицензия с панелью управления, либо в виде исходного кода на C++. Операционные расходы ничтожны: командных транзакций хватит на сумму около 1 доллара в криптовалюте MATIC, используемой в сети Polygon. Оператору не нужно арендовать серверы, регистрировать домены или поддерживать какую-либо инфраструктуру, кроме криптокошелька и локальной копии панели. Такая модель резко снижает порог входа для создания устойчивого, практически неистребимого ботнета. Хотя концепции управления через блокчейн ранее существовали в академических исследованиях, Aeternum, судя по всему, является первым коммерчески доступным продуктом такого рода, активно продаваемым на теневых форумах.

Помимо основного механизма, загрузчик включает функции для противодействия анализу. Он содержит детектирование виртуальных машин, что мешает его выполнению в песочницах антивирусных компаний и аналитиков. Продавец отдельно отмечает, что после загрузки образца на VirusTotal аналитики не увидят в результатах срабатываний от «AV-ботов», так как вредоносная программа отказывается работать в их средах. Кроме того, в панель встроен сканер, проверяющий сборки через API Kleenscan против 37 антивирусных движков. На скриншотах продавца лишь 12 из 37 движков детектируют образец, а такие крупные вендоры, как CrowdStrike, Avast, Avira и ClamAV, показывают статус «не обнаружено». Стоит отметить, что это моментальный снимок, и уровень детектирования будет меняться по мере обновления сигнатур.

Появление Aeternum C2 знаменует новую эру в развитии ботнетов, что имеет серьёзные последствия для защиты от DDoS-атак и сетевой безопасности в целом. Независимо от того, насколько широко распространится именно эта вредоносная программа, модель блокчейн-управления теперь стала готовым продуктом на чёрном рынке. Её логика безупречна, и другие разработчики вредоносного ПО неизбежно начнут её копировать и улучшать. Ботнеты, построенные по такой схеме, будут существовать дольше, накапливая больше заражённых устройств и обеспечивая масштабные DDoS-атаки, подбор учётных данных, кликовое мошенничество или работу в качестве прокси-сети. Когда канал управления неизменяем, традиционное «выключение» сверху становится крайне сложной задачей. Даже если вредоносную программу удастся удалить со всех заражённых устройств, оператор может снова развернуть атаку, используя те же смарт-контракты. Это смещает фокус защитников с проактивной нейтрализации инфраструктуры на реактивное фильтрование вредоносного трафика на периметре сетей и усиление систем обнаружения на конечных точках, поскольку лишить злоумышленника контроля над его армией устройств стандартными методами более невозможно.

Domains

• gateway.tenderly.co
• Irpc.io
• polygon.drpc.org
• polygon.gateway.tenderly.co
• polygon.rpc.subquery.network
• polygon-mainnet.public.blastapi.io
• polygon-public.nodles.app
• polygon-rpc.com
• rpc-mainnet.matic.quiknode.pro