El bot tiene el código ofuscado con Zelix Klassmaster, una solución especializada en Java que obliga a los analistas a descifrar el código antes de poder analizar el malware. Una vez analizado se puede ver cómo el código está pensado para las plataformas Windows, Linux y Mac OS X, usando diferentes puntos de anclaje para conseguir la persistencia al reinicio.
Figura 1: Configuración del bot como un launchd en Mac OS X
- Windows: Usa clave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Mac OS X: Configura un servicio launchd
- Linux: Configura una entrada en los daemons de inicio en /etc/init.d/
El bot se controla mediante el protocolo IRC, para lo que el malware lleva implementado completamente PircBot, una impelementación Open Source del API de IRC, y que permite enviar comandos a los bots.
Figura 2: Conexión del bot al C&C mediante IRC
La principal función de esta botnet es la de realizar ataques de Denegación de Servicio Distribuida (DDoS) a servicios HTTP y UDP, para lo que desde el C&C se realiza mediante comandos IRC la configuración de los parámetros necesarios para el ataque.
Figura 3: Configuración de un ataque de Flood UDP desde el C&C al bot
La distribución de este bot no parece muy extendida, pero es importante tener en cuenta que los creadores de malware que utilizan Java están pensando en todo momento en arquitecturas que funcionen sobre sistemas Mac OS X, y que es fundamental tener actualizar la plataforma Java a la última versión.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal
Continúar leyendo...