Orchard er navnet på en ny botnet udnytter Bitcoins skaber Satoshi Nakamotos kontotransaktionsoplysninger til at generere DGA [Domain Generation Algoritmer] domænenavne. Dette gøres for at skjule botnettets kommando-og-kontrol-infrastruktur.
"På grund af usikkerheden ved Bitcoin-transaktioner, denne teknik er mere uforudsigelig end at bruge de almindelige tidsgenererede DGA'er, og dermed sværere at forsvare sig imod," sagde 360 Netlab-forskere i et nyligt blogindlæg. Forskerne opdagede teknikken i en familie af botnets, som de kaldte Orchard. Siden februar 2021, botnettet har udgivet tre versioner, og har skiftet programmeringssprog ind imellem.
Hvorfor bruger Orchard Botnet DGA?
Formålet med at bruge DGA-teknikken er enkelt – installation af diverse anden malware på den kompromitterede maskine. Botnettet er udstyret med en redundant kommando- og kontrolmekanisme, der indeholder et hårdkodet domæne og DGA, med hver version hårdkodning af et unikt DuckDNS dynamisk domænenavn som C&C.
Orchard-botnettet er også i stand til at uploade enheds- og brugeroplysninger og inficere USB-enheder for at sprede sig yderligere. Hidtil, i det mindste 3,000 maskiner er blevet inficeret, hvoraf de fleste i Kina. Malwaren har modtaget adskillige væsentlige opdateringer i det seneste år, og har skiftet fra Golang-sproget til C++ for sin tredje variant. Den seneste version indeholder funktioner til at starte et XMRig-mineprogram til at præge Monero (DVDRip) ved at udnytte ofrets computerressourcer.
Med hensyn til infektionsskala, forskerholdet vurderede, at v1 og v2 har tusindvis af noder, og v3 har mindre på grund af dets sene udseende. Funktionerne de tre versioner har er de samme, Herunder:
- Uploader enhed og brugeroplysninger;
- Besvarelse af kommandoer og download for at udføre den næste fase af modulet;
- Inficerer USB-lagerenheder.
“På tidspunktet for skrivning, vi fandt ud af, at andre forskere for nylig havde bemærket denne brug af bitcoin-kontotransaktionsoplysninger som DGA-input til v3. Resultaterne af deres analyse stemte overens med vores, men de lagde ikke mærke til, at Orchard faktisk havde eksisteret i lang tid,” rapporten bemærkes.