Доктор Веб: Trojan.Dyre по-прежнему опасен!!!


Hit WebСпециалисты компании Доктор Веб длительное время следили за троянской программой Trojan.Dyre, ее распространением, изучали инфраструктуру. Исследователи увидели здесь "классический" пример реализации модели CAAS — crime-as-a-service (преступление как услуга). "Пользователи системы" получали билдер для генерации сэмплов трояна, который позволял часто менять его сигнатуру, делая его, таким образом, неуязвимым для антивирусных программ. При этом все данные, собранные трояном на зараженных компьютерах, передавались на серверы владельцев Trojan.Dyre. Там они обрабатывались и заводились в административную панель. Эта панель была доступна лишь тем "пользователям", которые купили к ней доступ. В свою очередь панель была разделена на несколько функциональных частей — управление ботами, поиск по логам. Самих групп панелей было несколько. Все входящие данные анализировались фильтрами для получения интересующей мошенников информации (логины-пароли и т.д.).

Инфраструктура Trojan.Dyre более сложная, чем инфраструктура многих других нашумевших банковских троянов. Например, зачастую данные с зараженных компьютеров передавались троянами на сервер, где и развернута панель, с помощью которой злоумышленники управляют своими ботами. В случае с Trojan.Dyre использовался целый набор различных технологий. Так:

  • Приемом и обработкой данных от ботов занимались "самописные" серверы на .Net, а панели управления ботнетом были написаны с использованием php-фреймворка Kohana.

  • Для хранения и обработки массивов данных, поступавших практически со всех концов света, использовались базы postgres и mysql, а также система полнотекстового поиска sphinx.

  • Все входящие данные поступали на специальные фильтры, которые служили для выделения интересующей мошенников информации (логины, пароли, номера банковских счетов, персональные данные пользователей и т.д.).

  • Для защиты серверов от обнаружения были использованы Tor-серверы, а также proxy-серверы, объединенные в сеть посредством openvpn.


При этом, отличительной чертой атаки с использованием трояна Trojan.Dyre было размещение первичных проксирующих "прокладок" на взломанных злоумышленниками роутерах, где соответствующим образом была изменена таблица маршрутизации. Взломы роутеров производились рутинным подбором паролей. При этом учитывался тот факт, что многие пользователи не заботятся о смене заводских настроек защиты роутеров, а некоторые вообще не рассматривают их как точку возможного проникновения во внутреннюю сеть.

Аналитики компании Доктор Веб смогли определить целый ряд конечных серверов, используемых злоумышленниками. Были вскрыты элементы инфраструктуры Trojan.Dyre, удалось реализовать синкхол некоторых серверов, что позволило получать важную информацию.

Специалисты Доктор Веб считают, что время Trojan.Dyre еще не прошло, поэтому расслабляться еще рано. До сих пор аналитики фиксируются спам-рассылки с сэмплами трояна. Есть основания полагать, что не все серверы инфраструктуры прекратили свою работу. Поэтому, скорее всего, ставить "точку" в этой истории еще рано.


Обновлено (08.02.2016 22:43)