Tout récemment, l’activité d’un nouveau botnet qui a été très actif au cours des dernières semaines, spécialisé dans les attaques DDoS a été surveillée. Il cible une assez grande variété de sites Web.
Cette fois, ce n’est pas le botnet bien connu BlackEnergy, mais un réseau de zombies appelés “Destination Darkness Outlaw System” (D.D.O.S), alias “Darkness“. Comme BlackEnergy, “Darkness” est facile à acheter, faciles à déployer, et est très efficace dans ce qu’il fait.
Cette version de “Darkness” utiliser les domaines greatfull-toolss.ru et greatfull.ru pour son centre de commandement et de contrôle (C & C). Comme nous le verrons plus tard, un troisième domaine, hellcomeback.ru, a également été utilisé, mais n’est plus disponible. Depuis le 12 novembre de cette année, il y a eu plus de 100 hôtes différents ciblés par “greatfull.ru”. Au départ, les attaques du réseau de zombies semblent localisées contre les sites de jeux en ligne, mais finalement, il a été vu dans des sites de profil plus élevé dans la finance, les assurances, les cosmétiques, les vêtements, les accessoires, les cadeaux et les industries.
Le C&C
greatfull.ru et greatfull-toolss.ru sont actuellement hébergés sur l’IP 91.212.124.35 qui est : AS49089 – UA-DC / Nikultsev Aleksandr Nikolaïevitch.
AS49089 est un petit fournisseur. Il y a un seul qui est en amont : AS49211 – SAASUA-AS Technologies Ltd.
Le traceroute actuel est le suivant : AS4777> AS2516> AS174> AS42590> AS49211> AS49089
Ajouté à cela, les modifications suivantes d’hébergement ont été observées :
12/11/2010 – 190.123.47.207 – AS23520 – COLUMBUS-RESEAUX – Columbus USA Networks, Inc
24/11/2010 – 91.217.162.232 – AS51441 Taras VOEJNA-AS Berkevich
29/11/2010 – 91.212.124.35 – AS49089 – UA-DC / Aleksandr Nikolaïevitch Nikultsev
Un Whois pour le C&C donne :
paid-till: Monday, 10 October 2011
Le titulaire des domaines
Les domaines actuellement actifs, greatfull.ru et greatfull-toolss.ru utilisent l’adresse e-mail d’inscription : smilefrince@yandex.ru. Une série de recherches efféctuées sur cette adresse mail aboutie à plusieurs publicités pour les services de DDoS par «vallium» :
Le malware Darkness
Il y a plusieurs publicités vantant l’efficacité du botnet Darkness. Ce qui suit est une traduction de quelques-unes des caractéristiques associées au malware :
- much more effective than its predecessors (Black Energy, Illusion)
- working in 100 threads, no timeouts, generating maximum http traffic rate
- ability to choose and pick several URLs for each site
- Optima bot panel – English or Russian GUI
- Autoupdate and autoupgrade of bots
- Built-in ability to use install biz services
- Works on Windows 95- Windows 7
- Passer module collect passwords on command and offloads them to an FTP site
- Deep-Parser allows to collect URLs from the targeted site and combine them into DD1 command for greater effectiveness
- one executable file, no loader
- can use DD1, DD2, DD3 commands
- runs as a Windows service
- streams correction – if tcpip.sys limits the number of connections, the bot is not trying to initialize them. It is especially useful for server OS and will reduce the number of bot losses due to BSOD and AV/Firewalls
- support of 3 controlling URLs at once. It is a long awaited feature and is very useful in case of a domain suspension or IP address change on the “abuse hosting”.
- the variable containing the version is now encrypted like URLs to prevent reversers from modifying and reselling their creation as a new version.
- offering custom build. You can request the file name, directory, and name and service description for extra 10WMZ ($10)
- 30 bots overwhelm an average site. Yes, just 30
- 300 bots – a medium size site
- 1000 bots – large site
- 5000 – cluster with site, even when using anti-ddos, blocks, and other preventive measures.
- 15-20 thousand bots can theoretically bring down vkontakte.ru (Russian Facebook)
Quelques-uns de ces points sont à noter :
- Ils mentionnent des performances bien supérieures à BlackEnergy et Illusion. Dès les essais, on a observé que le débit du trafic de l’attaque dirigée simultanément sur plusieurs sites a été assez impressionnant.
- Le malware utilise habituellement les clés du Registre suivantes :
HKLM\SYSTEM\ControlSet001\Services\darkness
HKLM\SYSTEM\ControlSet001\Services\darkness\ImagePath:"C:\WINDOWS\system\dwm.exe"
HKLM\SYSTEM\ControlSet001\Services\darkness\DisplayName: "IpSectPro service"
- Les logiciels malveillants peuvent être configurés avec 3 domaines pouvant être utilisés comme centre de commande et de contrôle. Cela permet de créer une solution de secours en cas de retrait ou de suspension d’hébergement d’un des domaines. Comme mentionné précédemment, ce particulier a utilisé le botnet à l’aide des domaines “greatfull.ru”, “greatfull-toolss.ru” et “hellcomeback.ru”. Cela correspond également avec les enregistrements de domaine et les messages des forums pour ces domaines. Dans l’image ci-dessous, vous pouvez voir que lors de l’exécution, le bot a d’abord tenté en vain de contacter “hellcomeback.ru”. Il a ensuite réussi à joindre »greatfull.ru et greatfull-toolss.ru.
En interrogeant la base de données Shadowserver, il a été possible de trouver les binaires plusieurs qui ont effectués plusieurs tentatives de connexion vers greatfull.ru et/ou greatfull-toolss.ru. 4 d’entre eux ont été examinés, ils ont été abandonnés au cours du mois passé. Ces binaires sont :
- 34d0e0d5485177b0ccdb3cb86fab37a9
- be1a936feec2945d29b07c0cd90c6634
- 0fef6530154f3f4a214aa8930b38cf04
- 1287ccf6b8eafac100376ca6065c26fb
Après avoir contacté le C & C, le botnet émet une requête GET avec un UID unique et le numéro de version du bot. Le serveur répond avec un ensemble d’instructions, codé en base64 pour l’attaque DDoS.
Après décodage du base64, on peut voir les commandes d’attaque spécifiques qui sont envoyés au bot :
Notons les ‘dd1=’ au début de l’instruction. Darkness utilise trois commandes pour son attaque. dd1=http, dd2=icmp, dd3=tcp/udp. Dans le cas de “greatfull.ru”, toutes les commandes ont été émises via ‘dd1=’ à l’exception de plusieurs attaques du 17/11/2010, où les attaques ont été ordonnées via ‘dd2=’.
Autres observations
Le nom de domaine “hellcomeback.ru” a été enregistré le 10/10/2010. Les domaines “greatfull.ru” et “greatfull-toolss.ru” eux, ont été enregistrés le 03/11/2010. Avoir un C &C ayant trois têtes lui permet de rester fonctionnel malgré un retrait de n’importe quel domaine. Il permet également une certaine corrélation supplémentaire de l’opérateur du réseau de zombies (annonces, inscriptions, etc).
Il semble maintenant que Darkness surpasse BlackEnergy. Il y a de nombreuses annonces et offres de services DDoS utilisant Darkness. Il est régulièrement mis à jour et amélioré, actuellement en version 7. Il semble aussi que la pénurie d’acheteurs est loin d’avoir lieu…
Shadowserver continue de suivre “greatfull.ru” et d’autres réseaux de Darkness. Les différentes équipes CERT, la justice, ainsi que les victimes ont été prévenus.
Remerciement à Mila Parkour de Contagio pour sa recherche et son assistance.