A cura di TJ Nelson, Research Analyst del Team ASERT di Arbor Dal 2015 l’ASERT (Arbor’s Security Engineering and Response Team) osserva e monitora una botnet DDoS denominata Flusihoc. Ad oggi sono poche le pubblicazioni che trattano di questa famiglia, nonostante l’elevato numero di anti-virus e di firme per il rilevamento delle intrusioni create dai diversi vendor. Flusihoc è costantemente presente con una serie di varianti, oltre 500 specie uniche nel nostro zoo di malware, e viene costantemente aggiornato. Flusihoc è un malware C++ versatile capace di sferrare una serie di attacchi DDoS sotto la direzione di un server di comando e controllo. Abbiamo deciso di occuparci di questa famiglia di malware in seguito al recente incremento delle attività osservate. In questo testo descriviamo questa famiglia, le relative caratteristiche e le attività rilevate nel corso degli anni. Attività DDoS rilevata. L’infrastruttura Arbor ATLAS raccoglie anonimamente i dati degli attacchi DDoS provenienti da quasi 400 service provider sparsi in tutto il mondo che si avvalgono della piattaforma Arbor SP/TMS. Grazie ad ATLAS è possibile misurare una parte degli attacchi della botnet Flusihoc. Da luglio 2017 siamo in grado di correlare i comandi di attacco Flusihoc rilevati con 909 eventi DDoS segnalati in ATLAS. La dimensione di attacco massima, di 45,08 Gbps, è stata registrata il 6 luglio 2017. Gran parte degli attacchi DDoS coinvolge TCP SYN sulle porte 80, 1-1023 e 443. Tali eventi si presentano con una dimensione media di attacco di 603,24 Mbps, solitamente con una frequenza di circa 14 diversi attacchi al giorno. Possibile origine cinese. La geolocalizzazione degli indirizzi C2 (Comando e Controllo) e gli attributi statici del malware individuati suggeriscono che Flusihoc possa essere di origine cinese. Osservando esemplari di Flusihoc si ottengono stringhe di debug come “C:\Users\chengzhen\Desktop\svchost\Release\svchost.pdb” in cui compare il termine cinese Chengzhen, che può essere tradotto in italiano con “avverarsi”. Inoltre, altri campioni contengono stringhe di debug e valori in cui sono presenti caratteri cinesi e gran parte di essi si basa sulla lingua “Cinese_semplificato”. È bene tenere presente che quanto appena illustrato potrebbe però far parte della deliberata strategia di attacco volta a fuorviare coloro che si occupano delle ricerche. Flusihoc comunica con il C2 mediante HTTP non cifrato. Il C2 utilizza una struttura di comando basata su numeri; il bot riceve un numero e risponde in base al comando associato a tale valore numerico. ASERT ha individuato i comandi numerati indicati di seguito:
1 – Richiede al bot di inviare informazioni sul sistema infettato; questo comando richiede al bot di rispondere inviando informazioni come nome del sistema operativo, informazioni sulla CPU, dimensioni della RAM e velocità della rete.
22 – Richiede al bot di verificare i payload dell’attacco e se necessario di riceverli dal C2.
333 – Passa allo stato di attacco e richiede al bot di inviare un messaggio di “Busy”, se si trova in fase di attacco attivo a un target o “Idle”, in caso contrario.
4444 – Comanda al bot di interrompere l’attacco in corso
Flusihoc è in grado di sferrare nove tipi di attacchi DDoS: SYN_Flood (1), UDP_Flood (2), ICMP_Flood (3), TCP_Flood (4), HTTP_Flood (5), DNS_Flood (6), CON_Flood (7), CC_Flood (8) e CC_Flood2 (9)
Tali attacchi vengono inviati dal C2 in formato stringa, che il bot sfrutta per eseguire analisi e lanciare gli attacchi stessi. Conclusione. Flusihoc è probabilmente una botnet DDoS cinese che colpisce prevalentemente obiettivi in Cina. Le analisi suggeriscono che tale botnet sia inserita in un servizio DDoS regionale, vista la distribuzione dei target. Questa famiglia di malware è attiva almeno dal 2015 ed è associata a oltre 154 C2. Sebbene non sia la botnet DDoS più grande conosciuta, Flusihoc è comunque in grado di provocare problemi sfruttando la fragilità di così tanti siti, server, servizi e applicazioni. È possibile mitigare gli attacchi DDoS con soluzioni Arbor come Arbor SP/TMS.