Orchard ist der Name eines neuen Botnet Nutzung der Kontotransaktionsinformationen des Bitcoin-Erfinders Satoshi Nakamoto zur Generierung von DGA [Domänengenerierungsalgorithmen] Domain Namen. Dies geschieht, um die Command-and-Control-Infrastruktur des Botnetzes zu verbergen.
„Wegen der Unsicherheit von Bitcoin-Transaktionen, diese Technik ist unvorhersehbarer als die Verwendung der üblichen zeitgenerierten DGAs, und damit schwieriger zu verteidigen," sagte 360 Netlab-Forscher in einem aktuellen Blogbeitrag. Die Forscher entdeckten die Technik in einer Familie von Botnets, die sie Orchard nannten. Seit Februar 2021, Das Botnetz hat drei Versionen veröffentlicht, und hat zwischendurch die Programmiersprache gewechselt.
Warum verwendet das Orchard-Botnetz DGA?
Der Zweck der Verwendung der DGA-Technik ist einfach – Installieren verschiedener anderer Malware auf dem kompromittierten Computer. Das Botnet ist mit einem redundanten Command-and-Control-Mechanismus ausgestattet, der eine fest codierte Domain und DGA enthält, wobei jede Version einen eindeutigen dynamischen DuckDNS-Domänennamen als C&C.
Das Orchard-Botnetz ist auch in der Lage, Geräte- und Benutzerinformationen hochzuladen und USB-Geräte zu infizieren, um sich weiter zu verbreiten. Bisher, mindestens 3,000 Maschinen wurden infiziert, die meisten davon in China. Die Malware hat im vergangenen Jahr mehrere wichtige Updates erhalten, und hat für seine dritte Variante von der Golang-Sprache zu C++ gewechselt. Die neueste Version enthält Funktionen zum Starten eines XMRig-Mining-Programms zum Prägen von Monero (DVDRip) durch Nutzung der Computerressourcen des Opfers.
In Bezug auf das Infektionsausmaß, Das Forschungsteam bewertete, dass v1 und v2 Tausende von Knoten haben, und v3 hat aufgrund seines späten Erscheinens weniger. Die Funktionen der drei Versionen sind gleich, Inklusive:
- Hochladen von Geräte- und Benutzerinformationen;
- Reagieren auf Befehle und Herunterladen, um die nächste Stufe des Moduls auszuführen;
- USB-Speichergeräte infizieren.
“Zum Zeitpunkt des Schreibens, Wir fanden heraus, dass andere Forscher kürzlich diese Verwendung von Bitcoin-Kontotransaktionsinformationen als DGA-Eingabe für v3 bemerkt hatten. Die Ergebnisse ihrer Analyse stimmten mit unseren überein, aber sie bemerkten nicht, dass es Orchard eigentlich schon lange gab,” der Bericht bekannt.