شبکه Darknet (بات نت) مختل شد

برای مختل نمودن شبکه botnet بانام Darknet و sinkhole کردن سرورهای C&C آن، شرکت ESET با مایکروسافت، CERT.PL و چندین سازمان مجری قانون در دور دنیا همکاری نموده است. ESET اخیراً اطلاعات و آمار تحلیل فنی، دستورات شناسایی‌شده، دومین‌ها و IP کنترل سرورها و غیره را در مورد این بدافزار انتشار داده است. بدافزار Botnet بانام Win32/Darkbot تعداد بی‌شماری کامپیوتر و سیستم را در سراسر جهان آلوده کرده است.

Darkbot یک IRC botnet است و از طریق چندین کانال مانند رسانه‌های اجتماعی، اسپم، وسایل قابل‌حمل و کیت‌های exploit توزیع می‌گردد. پس از نصب در وسیله یا سیستم، بدافزار عملکرد معمول نرم‌افزارهای امنیتی را مختل می‌کند و دسترسی به سرورهای به‌روزرسانی را قطع و با سرور IRC برای دریافت دستورات بیشتر ارتباط برقرار می‌کند.

به‌غیراز سرقت اسم رمز از خدمات اجتماعی معروف مانند Facebook و تویتر، این بدافزار کدهایی از یک یا چند خانواده بدافزاری دیگر (مانند Win32/Kasidet، Win32/Lethic و غیره) را پس از به دست گرفتن کنترل سیستم در آن نصب می‌کند

. Win32/Kasidet یا Neutrino bot یک بدافزار برای حملات DDoS است. Win32/Lethic یک spambot شناخته‌شده است که دائماً توسط Darkbot نصب می‌گردد.
Win32/Dorkbot چند سال است که در اشکال مختلف وجود دارد و به‌طور گسترده توزیع‌شده است.

این بدافزار روزانه هزاران بار آنرا شناسایی می‌شود و نمونه‌های جدید آن روزانه کشف می‌شود.

چارت توزیع در سراسر دنیا

این بدافزار طراحی modular دارد. شکل زیر مادول های مختلف آنرا نشان می‌دهد که آخرین نسخه تحلیل‌شده آن است.

مادول های مختلف در نمونه آخرین نسخه Darkbot

Darkbot به دنبال رسانه‌های متحرک (removable media) است که در سیستم آلوده موجود هستند تا خود را در آنها کپی مجدد کند. بسیاری از شناسایی‌ها بر روی حافظه‌های متحرک بوده است. در این موارد دو نوع فایل کشف‌شده است که به حافظه فلش تحمیل می‌شود، یک Dropper و یک فایل با پسوند

.LNK با یک اسم جذاب.

زمانی که کاربر dropper را از یک حافظه فلش اجرا می‌کند (به اسم Win32/Dorkbot.I) آن مادول سعی بر دانلود کردن جزء اصلی Darkbot بر روی سیستم و سپس ارتباط‌گیری hardcoded با سرور C&C خود می‌کند. بسته دانلود یک فایل بسیار فشرده است که پس از رمز برداری Win32/Dorkbot.L را اجرا و نصب می‌کند. سپس جزء اصلی Dorkbot IRC اجرا می‌شود (Win32/Dorkbot.B) و به DnsQuery API متصل می‌گردد.

جزء اصلی دارای دومین‌های واقعی C&C نمی‌باشد و در زمان resolve شدن این مورد توسط جزء IRC از طریق API hooked، Wrapper تلاش خواهد کرد از طریق یکی از دومین‌های متعدد موجود در خود مشکل را resolve کند. این پروسه پیچیده دریافت آدرس‌های واقعی C&C را سخت‌تر می‌کند.

پس از انجام نصب، سیستم سعی بر اتصال به سرور IRC را خواهد داشت، در یک کانال خاص عضو می‌شود و در انتظار دستورات صادرشده از botmaster خواهد بود. دستورات معمولاً درزمانی کوتاه دریافت شده و بقیه بدافزارها بر اساس روش بالا دانلود و اجرا خواهند شد.

Darkbot یک botnet قدیمی است که در سال‌های اخیر توسعه و تغییریافته است. زیرساختدار آن توسط ESET دنبال می‌شود تا اطلاعات ضروری برای تغییرات در رفتار

بدافزار و به دست آوردن داده‌های قابل‌استفاده برای مختل نمودن این بدافزار به دست آید. Darkbot از روش‌های قدیمی برای نقض به سیستم‌های جدید استفاده می‌کند. کاربران در زمان باز کردن فایل‌ها در یک حافظه فلش یا USB و همچنین فایل‌هایی که از طریق ایمیل یا رسانه‌های اجتماعی دریافت می‌کنند باید احتیاط کنند.