Новый DDoS-бот не желает исполняться в песочнице

Исследователи из Radware проанализировали образцы DDoS-бота DarkSky, атаки которого они наблюдают с мая прошлого года. Как стало известно SC Magazine UK, новая вредоносная программа способна определять запуск на виртуальной машине и при положительном результате приостанавливает свое исполнение. Боты DarkSky, по словам экспертов, ориентированы на работу под Windows XP, 7, 8 и 10, причем как в 32-битной, так и в 64-битной версии. Авторы данного зловреда постоянно совершенствуют функциональность своего детища, популярность и использование которого растут. Последняя версия DarkSky появилась в декабре и ныне продается в даркнете по цене меньше 20 долларов за экземпляр. Распространяется новый DDoS-бот обычными методами — с помощью экплойт-паков, через целевые рассылки и спам. Установка DarkSky происходит скрытно, без видимых изменений на зараженной машине. Чтобы обеспечить себе постоянное присутствие, зловред создает новый ключ реестра в разделе RunOnce или регистрирует новый сервис. Защитные механизмы DarkSky позволяют отслеживать запуск на таких виртуальных платформах, как VMware, Vbox и Sandboxie, а также под отладчиком ядра Syser. Из DDoS-техник DarkSky доступны DNS с усилением мусорного потока (атаки типа DNS с плечом), SYN flood, UDP flood и HTTP flood. Проведя атаку, зловред проверяет ее успех, связываясь с командным сервером. Кроме того, DarkSky способен по команде устанавливать прокси-сервер SOCKS/HTTP, чтобы направить трафик на удаленный сервер, и загружать другие вредоносные файлы. Среди последних эксперты идентифицировали незамысловатый майнер Monero и новейшую версию даунлоудера 1ms0rry, обычно используемого для загрузки криптомайнеров. Для защиты от DarkSky и подобных ему зловредов Radware советует использовать гибридную защиту от DDoS (комбинацию из локальных и облачных решений), поведенческий анализ, технологии создания сигнатур в реальном времени и ввести практику упреждения атак на основе анализа информации об угрозах, поступающей из надежных источников. Эксперты рекомендуют также создать группу быстрого реагирования на киберинциденты, укомплектованную специалистами по обеспечению безопасности IoT и защите от атак с использованием таких устройств. Комментируя новую опасную находку для SC Magazine UK, Фрейзер Кайн (Fraser Kyne)? технический директор Bromium в регионе EMEA? отметил: «Безобидный или вредоносный характер обычно выявляется детектированием, и это игра в «кошки-мышки», в которой чаще выигрывают плохие парни. Вместе с тем, типовая песочница — это абстрактное представление программного обеспечения, запускаемого в рамках ОС. Надежно защитить Windows в самой Windows, к сожалению, невозможно: площадь атаки слишком велика, в том числе на уровне ядра. В Microsoft это осознают и потому все больше концентрируют усилия на обеспечении безопасности Windows 10 на основе виртуализации».