McAffee: Ботнет Monkif прячет команды в JPEG-файлы

McAfeeИсследователями компании McAffee был обнаружен очень странный ботнет Monkif.

  • Во-первых, хотя C&C-серверы ботнетов обычно часто меняют дислокацию, в данном случае командный сервер аж с 2009 года работает по одному и тому же адресу у шведского интернет-провайдера prq.se (IP-адрес 88.80.7.152).

  • Во-вторых, ботнет Monkif использует технику стеганографии, чтобы спрятать свои коммуникации от внешнего наблюдателя, в частности адреса вредоносной загрузки прячутся внутри файлов JPEG. Кроме того, Monkif использует SSL-шифрование коммуникаций с управляющим сервером и имеет свой SSL-сертификат.

Вот как Monkif маскирует запросы к командному серверу с заражённой машины. Для каждого из них генерируется новое название с зашифрованными параметрами, например:

  • GET /photo/lfzt.php?rzj=51<75=26x644646x4x4x4x524x7x0x6x5x5772=716?5772=70<x
  • GET /babynot/pzj.php?dnr=722576<x644420x4x4x4x0x
  • GET /sodoma/xcgyscm.php?gquo=<<<6<4x644475x4x4
  • GET /karaq/mueoyisc.php?wgau=127=27?64446<x4x4x4x53

В ответ на эти запросы создаются настоящие файлы JPEG.

Ish kod jpeg Ish kod jpeg 1


Обновлено (10.07.2012 23:01)