Бот-сети с использованием BackDoor.DarkNess

Как сообщила компания «Доктор Веб», за последние четыре месяца ее специалисты зафиксировали 49 бот-сетей, построенных с использованием BackDoor.DarkNess; около десяти из них действуют до сих пор. Всего за этот период ботам было передано 329 уникальных команд, большинство из которых инициировало DDoS-атаки; их жертвами стали сайт «Новой Газеты», журнала «Катера и яхты», несколько эскорт-агентств и интернет-магазинов, торгующих поддельными копиями швейцарских часов. Среди целей DDoS-атак также много серверов онлайн-игр — по всей видимости, публикация BackDoor.DarkNess в открытом доступе привела к тому, что существенной долей бот-сетей в настоящее время управляют начинающие «хакеры». К примеру, однажды ботнет получил команду на атаку своего же собственного командного центра, что о многом говорит.

ПО BackDoor.DarkNess создавалось не только для собственного использования, а на продажу; различные версии его обходятся злоумышленникам в несколько тысяч долларов (в последнее время они появились и в свободном доступе).

ПО BackDoor.DarkNess не просто позволяет построить бот-сеть, способную осуществить DDoS-атаку. Это многопрофильный инструмент, с помощью которого можно реализовать разные функции. Например, модификация BackDoor.DarkNess.25 крадет пользовательские данные из таких программ, как Total Commander (параметры доступа к FTP), FlashFXP, FileZilla, WS_FTP, QIP, CuteFTP, The Bat!. Но основное назначение бэкдора —реализация DDoS-атак по команде с удаленного сервера.

BackDoor.DarkNess написан на языке Delphi, административная часть реализована на языке PHP. Бэкдор запускается в ОС в качестве сервиса и отключает стандартный брандмауэр Windows. После этого он связывается с удаленным командным центром и получает от него управляющую директиву, которая среди прочего может содержать приказ на скачивание исполняемого файла либо начало DDoS-атаки на указанный злоумышленниками сервер. Атака выполняется методом отправки через заданный временной интервал GET-запросов на определенный URL в несколько потоков (числом до 100). Также возможно выполнение многопоточных атак с использованием протокола ICMP, либо атак на какой-либо выбранный порт удаленного узла. Существенным конструктивным недостатком данного бэкдора является то, что в процессе работы он создает значительную нагрузку на используемый инфицированной машиной интернет-канал, а также не маскирует свой процесс в ОС, вследствие чего относительно легко идентифицируется антивирусным ПО и удаляется.

Можно предположить, что благодаря широкой распространенности этого бэкдора (а также появлению его в свободном доступе) количество бот-сетей и их активность в ближайшем будущем вряд ли уменьшатся. Несмотря на то, что BackDoor.DarkNess известен в течение длительного времени, он все еще пользуется определенной популярностью: в месяц вирусная лаборатория «Доктор Веб» получает 30 новых сэмплов данного бэкдора.