пятница, 18 мая 2012 г.

King of Spam: Festi botnet analysis

Мы подготовили очередное исследование интересного на наш взгляд семейства руткитов Win32/Rootkit.Festi с довольно уникальными функциональными характеристиками. Основная направленность этого бота рассылка спама, но так же присутствует специальный плагин для DDoS атак. Интересен этот бот еще тем, что именно с этого ботнета была осуществлена DDoS атака на платежную систему Ассист, в результате расследования которой был арестован Павел Врублевский.

Ну не будем углубляться в конспирологические теории, нашей основной задачей был технический анализ. По статистике M86 Security Labs, активного спам-трафика Festi ботнет занимает почетное третье место.




Этот ботнет претерпел большие изменения в феврале текущего года и боты были существенно обновлены. На самом деле этот ботнет интересен многими вещами, но при анализе нас больше всего поразила продуманная ООП платформа для разработки на уровне ядра ОС.


Данная платформа позволяет загружать плагины на уровне ядра ОС и сами плагины живут только в памяти и не сохраняются в файловую систему. Это существенно затрудняет криминалистическую экспертизу, так как после перезагрузки или выключения системы, восстановить информацию о предыдущих задания и активных плагинах не представляется возможным. 


Реверсить Win32/Rootkit.Festi было довольно сложно и по затраченным усилиям на анализ эту угрозу можно сравнить разве что с Stuxnet или Duqu. Протокол взаимодействия с командным центром представляет отдельный интерес и содержит в себе временные метки, которые обнаруживают ботов под отладкой или в процессе изучения протокола.

Подробности в нашем исследовательском отчете