ИБ-исследователи раскрыли подробности работы трояна Mad Max
Вредонос успел инфицировать компьютеры в 16 странах.
ИБ-исследователи из Arbor Networks сумели взломать сложный обфусцированный алгоритм генерации доменных имен вредоноса Mad Max. С помощью данного трояна злоумышленникам удалось создать ботнет, инфицировав компьютеры в 16 странах.
Специалисты сумели обнаружить все связанные с вредоносным ПО домены начиная с 2015 года, а также те, которые, предположительно, могли использоваться до 2017 года. Исследование Mad Max раскрыло некоторые важные подробности о трояне, однако эксперты Arbor Networks отложили публикацию информации на более поздний срок.
По данным Virtus Total, вредонос Mad Max может быть обнаружен только с помощью эвристики. По словам экспертов, вредонос загружает на систему несколько DLL-файлов и выполняет их с помощью rundll32.exe. Во избежании детектирования Mad Max использует обфускацию, и его код состоит в основном из фиктивных команд. Обфускация делает Mad Max весьма трудным для обнаружения как с помощью отладчика, так и реверс-инжиниринга. По словам исследователя из Arbor Networks Джэффа Эдвардса (Jeff Edwards), обфускация становится все более популярной среди злоумышленников.
Несмотря на все сложности, экспертам удалось создать деобфускатор, способный выявлять реальные команды, а не фиктивные. После удаления фиктивных команд, специалисты обнаружили, что Mad Max действительно использует алгоритм генерации доменных имен.
По словам экспертов, вредонос каждую неделю меняет генерируемое новое доменное имя, используя определенный шаблон домена верхнего уровня в зависимости от текущей недели месяца. В частности, троян будет генерировать домен в зоне .com для первой недели месяца, затем перейдет к .org, далее к .info и в конце месяца будет использовать .net.
Mad Max успел инфицировать компьютеры в Бразилии, Канаде, Китае, Финляндии, Франции, Германии, Индии, Италии, Японии, Южной Корее, Норвегии, Тайване, Таиланде, Украине, Великобритании и США.
Источник:
https://www.securitylab.ru/news/483219.php