Инструменты для проведения DDoS-атак набирают популярность

Александр Панасенко 25 Января 2013 - 18:06

...

Prolexic опубликовала информационный бюллетень, посвященный разбору itsoknoproblembro ― тулкита для проведения DDoS-атак, взятого злоумышленниками на вооружение в минувшем году. Документ содержит результаты анализа modus operandi и отдельных php-скриптов, входящих в этот комплект, топологии ботнета, построенного на его основе, а также рекомендации по обнаружению данной угрозы и предотвращению заражений.

Как мы уже писали, itsoknoproblembro активно участвовал в мощных осенних DDoS-атаках на американские банки, которые продолжились в декабре. По данным Prolexic, пиковая мощность этих атак составила 70 Гбит/с и свыше 30 млн. пакетов/с. Первые инциденты с использованием itsoknoproblembro эксперты зафиксировали год назад. По словам экспертов, эти DDoS-кампании, направленные против хостинг-провайдеров и представителей энергетической промышленности, были достаточно скромными. Примерно тогда же этот весьма опасный инструмент объявился в России.

Как показали результаты анализа, itsoknoproblembro позволяет проводить параллельные разноплановые DDoS-атаки против нескольких мишеней. Он поддерживает такие техники атак, как POST, GET, TCP и UDP flood, UDP flood,
с использованием прокси-серверов и без таковых. Атаки типа HTTP flood могут быть комбинированными (чередование GET и POST запросов), а также с использованием защищенных (https-) соединений. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков, используя уникальную двухступенчатую систему командного управления. Получив команду на атаку, он многократно ее повторяет, используя штатную программу командной строки cURL на зараженной машине, пишет securelist.com.

Стремясь обеспечить большую пропускную способность при небольшом количестве зараженных машин, злоумышленники построили многотысячный ботнет на взломанных веб-серверах. Они внедрили вредоносные скрипты, используя известные уязвимости в системах управления сайтами, таких как WordPress, Joomla, AWstats, Plesk, cPanel, phpMyFAQ и проч. По оценке Prolexic, наиболее часто с этой целью используются бреши в шаблоне Bluestork (Joomla) и плагине TimThumb (WordPress). В интернете функционирует большое количество сайтов, использующих устаревшие версии CMS-продуктов, и случаи массового взлома ресурсов через эксплуатируемую уязвимость нередки.

По свидетельству экспертов, ботнет, основанный на itsoknoproblembro, многоярусный и не имеет стандартного C&C интерфейса. После загрузки на ботнет общего списка инфицированных узлов (Prolexic называет их bRobot'ы) активизируются скрипты, подающие команду на проведение атаки. На bRobot'ы устанавливаются разные комбинации файлов из общего набора, ботоводы имеют к ним доступ, проверяют статус бота и инициируют DDoS-атаки.

Все бот-серверы условно делятся на контроллеры и непосредственных исполнителей атаки: первые отсылают команды (IP-адрес мишени, продолжительность атаки, размер пакетов), адресованные конкретным скриптам на узлах второго уровня. Чтобы максимально истощить ресурсы атакуемой мишени, бот создает много потоков: получив команду с «контроллера», он многократно ее повторяет, пересылая самому себе через GET запросы. Кроме этого, «исполнители» и «контроллеры» ведут активный «одноранговый» обмен, в результате которого на каждом уровне может произойти смена состава. Еще один ярус ботнета составляют открытые http-прокси, используемые атакующими для сокрытия источников DDoS трафика.

По прогнозам Prolexic, популярность itsoknoproblembro у инициаторов DDoS кампаний продолжит расти, посему важно начать активную борьбу с этой угрозой. Как показывает статистика, время жизни bRobot в настоящее время превышает полгода. Персистентность инфекции и трудоемкость очистки зависят от числа и разнообразия вредоносных файлов, а также от количества бэкдоров, установленных злоумышленниками. Использование устаревших, уязвимых CMS-продуктов ― глобальная проблема, и эксперты призывают разработчиков упростить процедуру их обновления, чтобы после персональной настройки пользователям не приходилось менять конфигурацию при каждом апдейте. Информационный бюллетень с профилем itsoknoproblembro доступен на сайте Prolexic (требуется регистрация).

Следующая главная новость »

Многофакторная аутентификация 2026 - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 02 Февраля 2026 - 14:52

Linux Бэкдоры Трояны Корпорации Государство

Сложный бесфайловый троян ShadowHS незаметно захватывает Linux-системы

Исследователи обнаружили ShadowHS — продвинутый бесфайловый фреймворк для атак на Linux, который заметно отличается от привычных вредоносных программ. Это не очередной бинарник, который можно поймать антивирусом, а полноценный инструмент постэксплуатации, целиком работающий в памяти и рассчитанный на долгую и аккуратную работу внутри защищённых корпоративных сред.

По данным Cyble Research & Intelligence Labs, ShadowHS — это сильно модифицированная и «вооружённая» версия утилиты hackshell.

В процессе заражения вредонос вообще не пишет файлы на диск: он выполняется из анонимных файловых дескрипторов, маскирует имя процесса под легитимные приложения вроде python3 и тем самым обходит контроль целостности и классические механизмы защиты.

Цепочка заражения начинается с многоступенчатого шелл-загрузчика, в котором полезная нагрузка зашифрована с помощью AES-256-CBC. После запуска загрузчик проверяет наличие зависимостей вроде OpenSSL, Perl и gzip, определяет контекст запуска и только затем восстанавливает пейлоад через сложную цепочку декодирования. Исполнение происходит напрямую из памяти — через /proc/<pid>/fd/<fd>, без следов в файловой системе.

Ключевая особенность ShadowHS — его «сдержанный» характер. В отличие от массовых зловредов, он не начинает сразу майнить криптовалюту или выкачивать данные. Сначала фреймворк проводит глубокую разведку окружения: ищет средства защиты, анализирует конфигурацию системы и передаёт результаты оператору, который уже вручную решает, что делать дальше. Такой подход больше похож на работу живого атакующего, чем на автоматизированный бот.

ShadowHS активно проверяет наличие корпоративных средств защиты — от CrowdStrike Falcon и Sophos Intercept X до Microsoft Defender, Elastic Agent, Wazuh, Tanium и агентов облачных провайдеров. Для этого используются проверки файловых путей, статусов сервисов и анализ состояния системы. Параллельно вредонос «зачищает территорию»: он ищет и завершает процессы конкурирующих семейств зловредов, включая Kinsing, Rondo и печально известный бэкдор Ebury, а также выявляет следы руткитов и прежних компрометаций.

Отдельного внимания заслуживает механизм вывода данных. Вместо стандартных SSH, SCP или SFTP ShadowHS использует пользовательские туннели GSocket. Передача файлов идёт через заранее заданную точку rendezvous и маскируется под локальные соединения, которые фактически перехватываются GSocket до попадания в сетевой стек. Такой подход позволяет обходить файрволы и средства сетевого мониторинга, не создавая очевидных сетевых сессий.

Если оператор решает активировать «тяжёлые» модули, ShadowHS способен развернуть сразу несколько вариантов криптомайнинга — от XMRig и XMR-Stak до GMiner и lolMiner. Для латерального перемещения он подтягивает инструменты вроде Rustscan. В коде также заложены модули для кражи AWS-учёток, SSH-ключей, данных из GitLab, WordPress, Bitrix, Docker, Proxmox, OpenVZ и облачных метаданных-сервисов — пока они остаются «спящими».

Из-за полностью fileless-архитектуры традиционные сигнатурные средства защиты против ShadowHS почти бесполезны. Эффективное обнаружение требует анализа поведения процессов, мониторинга исполнения в памяти и телеметрии на уровне ядра. Эксперты рекомендуют уделять внимание аномальной генеалогии процессов, подмене аргументов запуска и нетипичному использованию механизмов вроде memfd.