I ricercatori di Netlab hanno individuato una nuova botnet, denominata Matryosh, che ha riutilizzato il framework Mirai, propagato attraverso ADB interface e mirato a dispositivi simili ad Android con lo scopo principale degli attacchi DDoS.
La funzione di Matryosh è relativamente semplice: quando viene eseguita su un dispositivo infetto, rinomina il processo e stampa il stdin: pipe failed per confondere l’utente. Quindi decrittografa il nome host remoto e utilizza la richiesta DNS TXT per ottenere TOR C2 e TOR proxy, dopodiché stabilisce la connessione con il proxy TOR. Infine, comunica con TOR C2 tramite il proxy e attende l’esecuzione dei comandi inviati da C2.
“Il design crittografico di Matryosh ha qualche novità, ma rientra ancora nel pattern XOR a byte singolo Mirai, motivo per cui è facilmente contrassegnato dal software antivirus come Mirai; i cambiamenti a livello di comunicazione di rete indicano che i suoi autori volevano implementare un meccanismo per proteggere C2 downlinking la configurazione dal cloud, facendo ciò porteranno alcune difficoltà all’analisi statica o al semplice simulatore IOC”, conclude l’analisi pubblicata dagli esperti.
https://blog.netlab.360.com/matryosh-botnet-is-spreading-en/