среда, 1 августа 2012 г.

Rovnix.D: механизмы мультиинжекта

Не так давно я уже писал о новой модификации буткита Rovnix.D. Наш дальнейший анализ показал, что есть еще интересные детали, которые остались за рамками предыдущего поста. В первую очередь хочется отметить механизм множественных инжектов пейлоада, что раньше не было замечено в этом семействе буткитов. Механизм множественного внедрения кода позволяет на одной зараженной машине устанавливать несколько полезных нагрузок одновременно и внедрять их в разные пользовательские процессы. Причем, все полезные нагрузки будут храниться в скрытом файловом хранилище. Такой подход открывает злоумышленникам большие возможности по сдаче такого ботнета в аренду и при этом сохраняя контроль на инфицированной машиной при помощи вредоносного драйвера.

Сейчас у нас нет данных о существовании большой ботсети на основе Rovnix.D,  а в тестовой C&C насчитывается около 9000 активных ботов.


Обратная связь с уже активными ботами поддерживается в двух вариантах, первый это возможность обновления конфига, а второй собственно загрузка нового пейлоада.


Интерфейс выглядит каким то не доработанным и только усиливает ощущения о тестовой админки.

Самое интересное, что появилась возможность устанавливать одновременно несколько полезных нагрузок, которые контролируются драйвером и могут легко быть удалены из системы или заменены на другие.


Подробный анализ читайте в моем англоязычном блоге ;)