Betaboty należą do grupy malware, które przejmuje urządzenia i zmusza je do dołączenia to botnetów. Używane są do wykradania haseł i informacji bankowych, a ostatnio wykorzystywane były również w kampaniach ransomware. Niektórzy przestępcy działający online chętnie by z nich korzystali, nie wszyscy chcą jednak za nie płacić.


Ze względu na różnorodność zastosowań i łatwość w obsłudze, betaboty nie są tanie. Aby ominąć koszty związane z ich zakupem od twórców, cyberprzestępcy często korzystają bez autoryzacji z bibliotek kodu oryginalnych botów, co znacząco obniża ich koszt.

W swoim ostatnim badaniu, Tad Heppner, ekspert SophosLabs – jednostki badawczej firmy Sophos, światowego lidera w zakresie endpoint i network security – skupił się na badaniu próbek betabotów stworzonych za pomocą nieautoryzowanych wzorców i wnikliwie sprawdził możliwości malware zawierającego komponenty serwerów botnetu. Jego nadrzędnym celem było zbadanie sposobów wyodrębniania i deszyfrowania danych konfiguracyjnych.

Heppner poprzez swoje badanie wyjaśnia, jak korzystać z kluczy kryptograficznych zakodowanych w danych konfiguracyjnych malware służących do dekodowania komunikacji między botem a serwerem dowodzenia i kontroli. Większość metod opisanych przez Heppnera skupia się na działaniu Malware Betabot 1.7.

Jak działają betaboty?

Betaboty działają równolegle do malware – nie są więc nowym zjawiskiem. W związku jednak z tym, że ich autorzy często je aktualizują i ulepszają, to wciąż pojawiają się ich nowe wersje. Obecnie najbardziej rozpowszechnioną wersją jest Betabot 1.7.

Liczba zakażeń betabotami wahała się znacząco w ostatnich latach. W tym czasie pojawiły się nowe metody dystrybucji botów do użytkowników, które skutecznie omijały zabezpieczenia antywirusowe. SophosLabs wykrył również próbki, które próbują połączyć się i kontrolować serwery bez publicznej domeny lub adresu IP, co sugeruje, że mogą one znajdować się w całości w obrębie sieci prywatnej.

Wykorzystywanie bibliotek kodu bez autoryzacji

Interfejs serwera betabotów jest łatwy w obsłudze i dlatego jest chętnie używany przez tych cyberprzestępców, którym brakuje wiedzy technicznej lub którym zwyczajnie podoba się ich struktura. Pakiety betabotów są oferowane na czarnym rynku za około 120 dolarów i zazwyczaj są nabywane bezpośrednio od autorów, po ustaleniu szczegółów transakcji.
Korzystanie z bibliotek kodu bez autoryacji, pokazuje jednak, że cyberprzestępcy podejmują aktywności w kierunku stworzenia alternatywy dla betabotów. Tym samym, kierują oni swoje działania nie tylko na atakowanie nieświadomych użytkowników sieci, ale także na samych autorów betabotów, z zamiarem kradzieży ich złośliwego oprogramowania.

Sama szczelina składa się z aplikacji opartych na konsoli biblioteki kodu ze skomplikowanym szablonem betabota, przechowywanego, jako tablica bajtów w sekcji danych bilbioteki. Choć nie jest to bezprecedensowe, zwiększona dostępność często powoduje wzrost liczby malware.

Twórcy betabotów będą walczyć

Twórcy betabotów już podjęli kroki w celu zabezpieczenia oprogramowania malware, na którym zarabiają, dodając do nich zestaw narzędzi antypirackich.

Wśród nich jest przede wszystkim proces kodowania danych konfiguracyjnych wewnątrz botów. Dane konfiguracyjne zawierają adresy serwerów URL CNC, co sprawia że bot łączy się z nim podobnie, jak klucze szyfrowania i deszyfrowania informacji przesyłanych do pojedynczego serwera CNC. Dane konfiguracyjne są szyfrowane i przechowywane są w momencie generowania ładunku w samym bocie. Złożoność tej metody nie tylko utrudnia narzędziom antywirusowym i innym zabezpieczeniom rozpakować informacje statycznie, ale także odstrasza piratów od dekodowania danych konfiguracyjnych bota zawierających zmienioną informację.

W ten sposób autorzy próbują utrzymać kontrolę nad procesem pozyskiwania nowych ładunków botów dla danego serwera CNC. Mimo, że metoda ta jest dość skomplikowana, to wciąż umożliwia dekodowanie informacji, ponieważ klucz musi być dostępny dla samego bota, by mógł on zarażać kolejne urządzenie.

Innym przykładem ciekawej technologii antypirackiej stosowanej przez autorów jest „proaktywna defensywa”, która została dodana w celu zabezpieczenia betabotów przed potencjalnym atakiem i przejęciem przez konkurencyjne wirusy, takie jak trojany zdalnego dostępu. „Aktywna defensywa” po uruchomieniu pozwala użytkownikowi na określenie informacji o konfiguracji niestandardowej, która jest następnie szyfrowana i zamieszczana w kodzie szablonu w odpowiednim położeniu. Cały plik PE jest następnie rozpakowywany, aby uniemożliwiać wykrycie przez oprogramowanie antywirusowe.

Heppner przewiduje, że betaboty nie tylko utrzymają swoją popularność, ale że wręcz będzie ona rosnąć. Wykorzystywane będą one nie tylko w celu infekowania urządzeń, ale także do przeprowadzania skutecznych kampanii zbierających danych logowania użytkowników. Mimo, że autorzy betabotów dokładają wszelkich starań, by ich oprogramowanie nie było kopiowane, pozostaje ono łatwym celem dla naśladowców.

Aby dowiedzieć się więcej na temat betabotów i sposobach ich zabezpieczania, warto zapoznać się z pełnym raportem Sophos Labs dostępnym na https://www.sophos.com/en-us/threat-center/technical-papers.aspx

źródło:

Kan