DDG Mining Botnet è una botnet attiva da molto tempo e il suo principale metodo di profitto è l’estrazione di XMR. I suoi creatori la utilizzavano per installare crypto-miner su server vulnerabili e controllavano la sua attività attraverso un classico collegamento a un server Command and Control.
I ricercatori di Netlab 360 si sono accorti recentemente che, rispetto al 2018 quando osservarono che aveva realizzato un profitto tra 5,8 milioni e 9,8 milioni di RMB (tra 820.000 e 1,4 milioni di dollari USA), i cyber-criminali hanno introdotto un cambiamento significativo nell’architettura della rete, abilitando un sistema di comunicazione peer to peer tra le macchine infette. Nel report tecnico viene spiegato come i cyber criminali hanno sviluppato un protocollo che consente a ogni dispositivo infetto di comunicare con altri 200 bot della rete.
Secondo i ricercatori, DDG ha completamente abbandonato il meccanismo per infettare i server sulla rete pubblica spostando l’attenzione sui server sulla Intranet e, adesso, scarta l’uso del portafoglio XMR, quindi si è persa la visibilità sui soldi guadagnati ora.
Nel 2018 DDG utilizzava IP e DNS per le comunicazioni C2. Un anno dopo, gennaio 2019, DDG ha abbandonato il DNS C2 e introdotto una Memberlist della rete P2P basato nel suo protocollo di comunicazione. I ricercatori sono riusciti a sfruttare la rete P2P per rintracciare i dispositivi infetti e registrato un totale di 5.695 dispositivi. Nel febbraio 2020, DDG ha apportato di nuovo una grande modifica al suo protocollo di comunicazione, è stato adottato un protocollo P2P auto-sviluppato per costruire una rete P2P ibrida.
In tal modo, DDG è in grado di sopravvivere anche nel caso in cui il server C&C venisse momentaneamente bloccato e il malware può garantire la sua diffusione e persistenza. Quello messo in piedi, spiegano i ricercatori, è in realtà un sistema ibrido, in cui le comunicazioni P2P servono come elemento di ridondanza rispetto ai server C&C.
Da un punto di vista tecnico, DDG si diffonde attraverso un sistema di brute forcing che fa leva sull’utilizzo di password deboli per l’accesso ai server. Il database utilizzato dal malware, che viene offuscato attraverso un sistema di crittografia basato su algoritmo AES, comprenderebbe 17.907 password.
I ricercatori sottolineano anche la presenza di un sistema di proxy utilizzato per offuscare le comunicazioni tra i peer e spiegano che le caratteristiche di DDG permetterebbero alla botnet di diffondersi inesorabilmente.
https://blog.netlab.360.com/ddg-upgrade-to-new-p2p-hybrid-model/