Extended summary of dark matter uncovering the dark comet rat ecosystem
1. Extended Summary of
“Dark Matter: Uncovering the
DarkComet RAT Ecosystem”
BROWN FARINHOLT, MOHAMMAD REZAEIRAD, DAMON MCCOY, AND KIRILL
LEVCHENKO. IN PROCEEDINGS OF THEWEB CONFERENCE 2020 (WWW’20),
APRIL 20–24, 2020, TAIPEI, TAIWAN. PAGES 2109 –2120.
Laureando:
Andrea Valente
Relatore:
Professor Alberto Bartoli
Corso di Studi in Ingegneria Elettronica ed Informatica
Anno Accademico 2020/2021
2. DarkComet ed il suo ecosistema
DarkComet è un malware che consente di
ottenere informazioni personali delle persone,
spiarle ed interagirvi da remoto. Le vittime
credono che sia un file od un programma
sicuro.
Operatori: i malintenzionati;
Software controller: consente il controllo dei
dispositivi e la configurazione e compilazione
degli stub;
Controller: calcolatori su cui è in esecuzione il
software controller;
Stub: il programma in esecuzione sul
computer della vittima.
3. Studio dell’ecosistema tramite database
e file di configurazione
I ricercatori hanno cercato di capire:
quante sono e cosa subiscono le vittime di
DarkComet?
quanti sono i controller e come si
comportano gli operatori?
L’obbiettivo era ottenere:
I database usati dagli operatori per
documentare le loro vittime;
I file di configurazione dei software controller
utilizzati.
I ricercatori si sono finti delle vittime con i
controller ed hanno sfruttato un errore di
DarkComet:
Uno stub può richiedere qualsiasi tipo
di file al controller a cui si connette.
4. Raccolta dati
I domini o indirizzi IP da
contattare sono nelle
configurazioni scelte dagli
operatori per gli stub;
Gli indirizzi IP sono stati
monitorati da uno scanner
ed è stato tentato il
download da indirizzi
sospetti;
Altre fonti di database sono
hack packs, malware
utilizzati e distribuiti da altri
operatori con i database
sulle loro vittime.
5. Database e file di configurazione
I 2963 file di configurazione ottenuti servono
per gestire la configurazione internamente.
In essi sono codificate informazioni come:
l’interazione tra operatore ed una vittima
specifica;
il tipo di interazione.
6. Determinazione dei controller
Inizialmente:
elenco di nomi di dominio o indirizzi IP in ogni configurazione↔ 1 controller,
identificato da nome di host impiegato per scaricare i database.
PROBLEMA: Si poteva ottenere lo stesso database da due o più controller.
Però, per ogni controller un database ottenuto in precedenza avrà una tabella delle vittime prefisso
della nuova e conterrà una riga a rappresentare i ricercatori.
Quindi:
Database ed elenco di vittime particolari ↔ 1 controller indipendentemente dal modo
utilizzato per contattarlo.
7. Albero genealogico
Ogni nodo è un database, e può avere un genitore ed un figlio per la proprietà vista o più figli.
Se due o più operatori iniziano da uno stesso hack pack appaiono come delle ramificazioni.
Se per una ramificazione non c’era nei database in possesso il genitore corrispondente, questo
veniva dedotto come esistente ed aggiunto.
8. Determinazione delle vittime
Non tutte le 477292 vittime erano reali. Per stimarle meglio sono state utilizzate regole già
definite in precedenza in altri studi, insieme a nuovi criteri come:
la presenza di un certo numero di tasti premuti;
un numero di giorni in cui erano stati premuti dei tasti attribuibile ad una persona vera;
la validità delle date dei giorni registrati.
9. Analisi dei controller e delle vittime
I 1029 controller infettavano collettivamente 69
nuove vittime al giorno durante l’osservazione.
Un operatore può possedere:
1. molte vittime in tutto il mondo;
2. poche vittime e principalmente nella stessa area
geografica dell’operatore.
Il periodo di attività ed il numero di vittime
aumentano se un operatore inizia con un
hack pack.
Tra ciò che le 57805 vittime stimate hanno
dovuto subire ci sono:
molestie sessuali;
l’ottenimento di:
1. email;
2. conversazioni private;
3. credenziali d’accesso a siti e servizi;
4. numeri di carte di credito.
l’essere spiati attraverso le webcam.
10. Risultati
Si può dare priorità ad operatori con molte vittime o che ne acquisiscono di nuove rapidamente oppure
a seconda del periodo di attività dei controller;
Dall’analisi dell’albero genealogico si vedono gli operatori che distribuiscono hack pack, il che consente il
contrasto della diffusione di software controller DarkComet;
I ricercatori hanno comunicato agli Internet Service Provider le vittime, i quali le hanno notificate
dell’infezione. L’analisi delle tabelle delle vittime è applicabile anche a dati ottenuti dopo arresti o
perquisizioni;
Il lavoro fatto può essere esteso ad altri RAT che utilizzano database relazionali o che presentano la
stessa possibilità di download di qualsiasi file. Dove questa capacità è limitata è possibile utilizzare gli
hack packs con cui vengono distribuiti quei RAT come fonti di database.