Що таке зомбі-мережі? – Ч. 3

Це принцип організації розвідгрупи: кожен, хто входить в таку групу, знає тільки декількох інших членів групи, і провал одного агента розвідки не означає, що вся група розкрита.

  • Автори хробака постійно змінюють способи його поширення. Спочатку шкідлива програма поширювалася як вкладення в спамові листи (зокрема, під виглядом PDF-файлів); потім в спам розсилалися посилання на заражені файли; були також спроби автоматичного розміщення в блогах коментарів, які містили посилання на заражені веб-сторінки. І при будь-яких способах поширення цієї шкідливої програми використовувалися витончені методи соціальної інженерії.
  • Storm-ботнет приніс чимало проблем. Крім масової розсилки спаму, його підозрюють в участі в різних великомасштабних DDoS-атаки по всьому світу, і, за заявами деяких дослідників, навіть під час кібератаки на сайти естонських урядових установ в 2007 році не обійшлося без участі «штормового» ботнету. Те, на що потенційно здатна така мережа, викликає неприємні відчуття у провайдерів та інтернет-хостерів. Напруги додає той факт, що справжні розміри «штормового» ботнету так і залишилися таємницею. Якщо інші зомбі-мережі, повністю або частково спираються на C & C, можна побачити цілком (в C & C видний кожний підключений зомбі-комп'ютер), то списку заражених машин, що входять в «штормовий» ботнет, не бачив ніхто з експертів. За різними оцінками, розміри ботнету Storm Worm могли складати від 50 тисяч до 10 мільйонів зомбі-машин.

    До кінця 2007 року Storm-ботнет як ніби розтанув, хоча ми як і раніше щодня отримуємо кілька нових версій бота. Деякі експерти вважають, що зомбі-мережу розпродали по частинах, інші вважають, що ботнет виявився нерентабельним: його розробка та підтримка не окупалися одержуваної прибутком.

    Mayday
    Ще одним цікавим ботнетом, який технологічно дещо відрізняється від своїх попередників, є Mayday. Таку назву бот (по класифікації «Лабораторії Касперського – Backdoor.Win32.Mayday) і створена на його основі мережу отримали завдяки тому, що ім'я домену, до якого зверталася шкідлива програма в одній із своїх модифікацій, включало в себе слово« mayday ».

    Mayday – це черговий ботнет, побудований на архітектурі P2P. Після запуску бот з'єднується з вказаним в тілі програми веб-сервером, реєструється в його базі даних і отримує список всіх ботів в зараженій мережі (у разі Storm Worm це була лише частина списку). Далі бот встановлює з'єднання типу «комп'ютер-комп'ютер» з іншими ботами, що входять в зомбі-мережу.

    Зараз зареєстровано 6 різних серверів по всьому світу (у Великобританії, США, Нідерландах, Німеччині), з якими зв'язувалися боти на стадії побудови ботнету. До початку березня в працездатному стані залишився лише один із серверів, на якому було зареєстровано близько 3 тисяч ботів. Крім розмірів мережі, Mayday явно поступається своєму «старшому братові» Storm в декількох важливих позиціях: в Mayday-ботнеті використовується примітивний нешифровані протокол спілкування, код шкідливої програми не піддався спеціальній обробці для ускладнення його аналізу антивірусним ПЗ, і, головне, нові варіанти бота випускаються зовсім не з тієї періодичністю, як у випадку Storm Worm. Програма Backdoor.Win32.Mayday була вперше задетектірована «Лабораторією Касперського» ще в кінці листопада 2007 року, і за чотири минулі місяці з'явилося трохи більше 20 різних варіантів програми.

    Що стосується технологічних новинок, то слід відзначити два нестандартних підходу, реалізованих в ботнеті.

    По-перше, в мережі Mayday комунікація типу «комп'ютер-комп'ютер» (P2P) спочатку заснована на передачі ICMP-повідомлень з 32-байтной корисним навантаженням.

    Більшості користувачів протокол ICMP (Internet Control Message Protocol – міжмережевий протокол керуючих повідомлень) знаком з прикладної утиліті PING, що використовує ICMP для перевірки доступності мережевого хоста, але основні функції протоколу значно ширше. Ось що сказано про ICMP в Wikipedia: «ICMP – мережевий протокол, який входить в стек протоколів TCP / IP. В основному ICMP використовується для передачі повідомлень про помилки і в інших виняткових ситуаціях, що виникли при передачі даних. Також на ICMP покладаються деякі сервісні функції ».

    За допомогою ICMP здійснюється перевірка доступності ботів в зараженій мережі та їх ідентифікація. Оскільки бот Mayday орієнтований на роботу в Windows XP SP2, після запуску він змінює правила мережевого екрану Windows, так щоб отримання ICMP-пакетів було дозволено.

    Другий основною особливістю Mayday-ботнету є його центр управління.

    Для роботи центрів управління веб-орієнтованих ботнетів використовується механізм, відомий як CGI (Common Gateway Interface). Спочатку технологією веб-серверів була передбачена можливість використання виконуваних файлів в якості реалізації CGI, пізніше з'явилися різні скрипт-движки. CGI-додаток генерує в реальному часі контент запитуваної користувачем веб-сторінки, забезпечуючи виконання програми та виведення результатів її роботи замість статичних даних з сервера. CGI-скрипт працює за аналогічною схемою, але для виведення результатів своєї роботи йому потрібно інтерпретатор – скрипт-движок. Як правило, командні центри веб-орієнтованих ботнетів розробляються зловмисниками з використанням скрипт-движків.

    Серверне ПЗ Mayday являє собою цільний (без модулів) 1,2-мегабайтний виконуваний ELF-файл (Linux-аналог виконуваних EXE-файлів Microsoft Windows), що не вимагає наявності скрипт-движка в системі.

    Розробка CGI-додатки на пару порядків складніше розробки CGI-скрипта, оскільки вимагає особливих зусиль для реалізації стабільного та надійного коду. В даний час 99% веб-розробок ведеться на основі скрипт-движків, а монолітні виконувані CGI-програми створюються лише в разі жорсткої необхідності оптимізувати все до дрібниць. Як правило, такий підхід використовується великими корпораціями при розробці проектів, які повинні працювати в умовах величезних навантажень. Монолітні виконувані CGI-програми використовуються, наприклад, у таких веб-системах, як e-Bay, Paypal, Yahoo та ін

    Однією з можливих причин створення безмодульного виконуваного файлу в разі ботнету Mayday могло бути бажання розробників ускладнити «чужаків» завдання редагування, перенастроювання і перепродажу центру управління. У будь-якому випадку аналіз структури серверного ПЗ Mayday дає підставу припускати, що така серйозна розробка (код акуратно причесаний, створена система класів універсальна) вимагає добре організованої команди розробників. Більш того, для створення ПЗ Mayday-ботнету зловмисникам, швидше за все, довелося вести роботу над двома різними проектами: розробкою програм для Windows і для Linux.

    Ботнет-бізнес
    Відповідь на питання, чому ботнети продовжують розвиватися і стають все більш актуальною проблемою, можна отримати, оцінивши нинішній стан ринку ботнетів. Сьогодні кіберзлочинцям, які хочуть побудувати ботнет, не потрібні ні спеціальні знання, ні великі грошові суми. Підпільна ботнет-індустрія за подібною ціною надає бажаючим обзавестися ботнетом все необхідне: ПЗ, готові мережі й послуги по анонімному хостингу.

    Перше, що необхідно для побудови ботнету, – це сам бот, програма, що дозволяє віддалено виконувати на комп'ютері користувача деякі дії без відома користувача. ПЗ для створення ботнету можна легко купити в Мережі, знайшовши відповідне оголошення та звернувшись до того, хто його розмістив.

    Ціни на боти варіюються від $ 5 до $ 1000, залежно від того, наскільки поширений бот, детектується чи він антивірусом, які команди підтримує і т.д.

    Для побудови найпростішого веб-орієнтованого ботнету необхідно мати хостінговую майданчик, де можна розмістити центр управління. Будь-який бажаючий може купити таку площадку – разом з послугами служби підтримки та можливістю анонімної роботи з сервером (хостер, як правило, гарантує недоступність файлів журналу для кого, у тому числі для «компетентних» органів). Оголошень, подібних наведеному нижче, на форумах в Інтернеті досить багато.

    Коли майданчик C & C побудована, необхідні заражені ботом машини. Бажаючі можуть купити вже готову мережу з «чужим» встановленим ботом. Оскільки випадки крадіжки ботнетів в середовищі зловмисників не рідкість, покупці, як правило, воліють замінити на власні і шкідливу програму, і центр управління, отримавши гарантований контроль над зомбі-мережею. Для цього боту в купленій мережі дають команду завантажити і запустити новий бот (з новою адресою C & C) і самоудаліться. Тим самим «чужа» програма-бот замінюється на «свою», і ботнет починає взаємодіяти з новим центром управління. Така «перезавантаження» ботнетів є незайвою і з точки зору їх захищеності і анонімності: «старий» C & C і «старий» бот ще до продажу цілком можуть потрапити в поле зору фахівців з комп'ютерної безпеки.

    Побудувати власний ботнет також не складає особливих труднощів: для цього є спеціальні засоби. Найпопулярніші з них – програмні пакети, відомі як MPack, IcePack і WebAttacker. Вони дозволяють заражати комп'ютерні системи відвідувачів шкідливої веб-сторінки, використовуючи уразливості в програмному забезпеченні браузерів або в плагінах до них. Такі програмні пакети називаються веб-системами масового зараження або просто ExploitPack. Після спрацьовування експлойта браузер покірно завантажує з Мережі на комп'ютер користувача виконуваний файл і запускає його. Таким файлом якраз і є програма-бот, яка підключає новий зомбі-комп'ютер в ботнет і передає управління їм зловмисникові.

    Ці кошти настільки доступні, що навіть підлітки з легкістю їх знаходять і намагаються заробити на перепродажу.

    ExploitPack спочатку були розроблені російськими хакерами, однак знайшли своїх клієнтів і в інших країнах. Ці шкідливі програми були локалізовані (що свідчить про їх комерційному успіху на чорному ринку) і тепер активно використовуються, наприклад, у Китаї.

    Будь-яка система тим популярнішим і тим успішніше на кіберкрімінальном ринку, чим простіше її використовувати. Це розуміють і розробники таких систем, тому для підвищення популярності своїх дітищ і відповідно збільшення попиту на них розробляють прості механізми установки і конфігурування систем – будь то система для C & C або просто ExploitPack.

    Так, наприклад, установка командного центру, як правило, складається з копіювання файлів на бік веб-сервера і звернення за допомогою браузера до скрипта install.php. Значно полегшує задачу наявність веб-інтерфейсу інсталятора: кіберзлочинцям досить правильно заповнити поля веб-форми, щоб командний центр був правильно налаштований і почав працювати.

    У кіберкрімінальном світі добре відомо, що рано чи пізно антивіруси почнуть детектувати програму-бота. Як наслідок, ті заражені машини, на яких стоїть антивірус, для зловмисників будуть втрачені, а швидкість зараження нових комп'ютерів значно знизиться. Є кілька способів, за допомогою яких господарі ботнетів намагаються зберегти свої мережі. Найбільш ефективний – захист шкідливої програми від детектування за допомогою спеціальної обробки виконуваного коду: кіберкрімінальний ринок пропонує широкий вибір послуг по його шифруванню, упаковці та обфускаціі.

    Таким чином, все, що необхідно для успішного існування і розвитку ботнетів, є в Інтернеті, і зупинити розвиток ботнет-індустрії поки неможливо.

    Висновок
    На сьогоднішній день ботнети є одним з основних джерел нелегального заробітку в Інтернеті і грізною зброєю в руках зловмисників. Очікувати, що кіберзлочинці відмовляться від настільки ефективного інструменту, не доводиться, і експерти з безпеки з тривогою дивляться в майбутнє, очікуючи подальшого розвитку ботнет-технологій.

    Небезпека ботнетів посилюється тим, що їх створення і використання стає все більш простим завданням, з якою в найближчому майбутньому будуть в змозі впоратися навіть школярі. А ціни на розвиненому і структурованому ботнет-ринку досить помірні.

    У побудові інтернаціональних ботнетів можуть бути зацікавлені не тільки кіберзлочинці, але й держави, готові використовувати зомбі-мережі як інструмент політичного тиску. Крім того, можливість анонімно управляти зараженими машинами незалежно від їх географічного знаходження дозволяє провокувати конфлікти між державами: достатньо організувати кібератаку на сервери однієї країни з комп'ютерів інший.

    Мережі, що об'єднують ресурси десятків, сотень тисяч, а часом і мільйонів заражених машин, володіють дуже небезпечним потенціалом, який поки не використовувався в повному обсязі. Між тим, вся ця грізна кібермощь спирається на інфіковані комп'ютери домашніх користувачів. Саме вони складають переважну більшість зомбі-машин, і саме їх зловмисники використовують в своїх цілях.

    Джерела информаци:

    • horosh.ru – все про ботнеті;
    • ru.wikipedia.org – визначення ботнету у Вікіпедії;
    • computerra.ru – визначення ботнету;
    • interface.ru – стаття про ботнеті.


    Category: Інтернет

    Comments (Прокоментуй!)

    There are no comments yet. Why not be the first to speak your mind.

    Leave a Reply