Короткий аналітичний запитальник з бот-мереж у РФ 2009 рік (FAQ)

У цій статті ми узагальнили інформацію, додали останні відомості і деяку аналітичну інформацію по бот-мереж і по їх одному з основних призначень – DDOS атак. Стаття побудована за принципом питання-відповідь в неофіційному тоні. Ми відповідали на питання, які надсилали й ставили нам користувачі, тому, деякі питання можуть здатися елементарними для розуміння. Тим не менш, величезна кількість листів, що приходять в Group-IB мають приблизно такий зміст:


Тема листа: Doss атака

Я ходила по посиланнях "Скачати безкоштовно програму Advanced PC Tweaker" По-перше на всіх посиланнях були спливаючі вікна у вигляді реклами з порнографічним змістом і взагалі, в який розділ не зайди, спочатку порно сайт потрібно закрить.Программу я так і не знайшла … отім я пішла на маіл.ру, у свій основний поштову скриньку на mail.ru, але на своє здивування не можу нічого подивитися. На весь екран зображення з порнографією і приписочка: Для вилучений виберіть країну, відправте СМС з текстом XMS 2273070 на номер 3649, введіть код (у віконце) і видалити. Ви не помилилися не для скачування СМС відправити, а для видалення цієї самої порно картинки … Будь ласка позбавте мене від цієї Отаки!

(Це не жарт. Текст листа опублікований без змін)


Саме тому, опубліковивая відповіді на прості запитання, ми сподіваємося, що це хоч якось підвищить рівень грамотності Інтернет населення нашої країни.

Вітаються нові питання, відповіді на які ми опублікуємо у другій частині статті.


Які тенденції поширення і розвитку бот мереж і, як наслідку DDOS атак в Росії?


-DDoS-атаки (від англ. Distributed Denial of Service, розподілена відмова в обслуговуванні) В останні кілька років стали одним з найпоширеніших злочинів у кіберпросторі. Найчастіше хакери організовують подібні напади на сервери державних органів і великих бізнес-структур. Більш того, в 2004 році з'явився такий вид злочинів, як шантаж можливістю проведення DDoS-атаки.

Бот мережі явище, яке в Росії стає актуальним, починаючи з 2003 року (хоча технологія достатня стара). Спочатку була доступна вузькому колу високоосвічених людей. Після багатьох публікацій з описом технології, а так само почастішали випадків DDOS атак і засиллю спаму стала досить популярною і широкодоступної.

На даний момент зміст бот мереж – одна з найбільш вигідних в Інтернеті (сегмент СНД) нарівні з кардинг.

Починаючи з 2005 року бот мережі придбали масовий характер, а так само процес становлення основних найбільших мереж прийшов в збалансований стан. Тим не менше, з точки зору законодавства змін ніяких не сталося: DDOS розцінюється як статті 272 і 273 КК РФ. Слідчих у МВС вкрай мало, і методи протидії бот мереж досить швидко застарівають. Конкретних судових рішень недостатньо. У той же час, розсилка спаму не є яким-небудь злочином.


Бот мережі є зараз найефективнішою системою інформаційної війни. Існують навіть апаратні комплекси для здійснення DDOS атак.


– Які труднощі зазнають компанії по боротьбі з DDOS атаками в Росії і СНД?


У Росії та СНД боротьба з бот мережами ускладнена з наступних причин:


1. Відсутність в Росії CERT "ів (Computer Emergency Response Team)

2. Слабке технічне оснащення правоохоронних органів / нечисленність штату.

3. Відсутність міжнародних угод і законодавства по боротьбі з подібними явищами.

4. Політична ситуація.

5. Технічна безграмотність населення і простота зараження ПК вірусами. Вартість зараження 1000 машин вірусами починається від 20 доларів США.


На даний момент в Росії тільки один CERT (чи правильніше CSIRT).

Найближчим часом і Group-IB отримає статус CERT

CERT – це команда з реагування на інциденти інформаційної безпеки. У світі зараз зареєстрована 201 команда в 43 країнах світу. Метою команд є координація дій між провайдерами, кінцевими користувачами для запобігання або мінімізації інциденту ІБ. А також: обмін інформацією, вивчення методів боротьби і розслідування інцидентів. Інформацію про існуючі командах можна отримати тут – http://first.org/members/map/. Команди об'єднані під егідою організації FIRST і їх дії носять некомерційний характер.


– Які тенденції розвитку бот мереж в РФ за останні роки?


За останні два роки (2007-2008 рік) в Росії спостерігалися такі тенденції для бот-мереж:


1. Укрупнення. Малі бот мережі вливалися в більші, тобто відбувалося їх об'єднання і нарощування сили для можливості більш потужної атаки.

2. Децентралізація. Керуючі центри переносяться в країни третього світу та децентралізовані.

3. Поява непрофесійних бот мереж: за допомогою конструкторів або спеціальних програм для їх створення. Для створення та управління такою мережею не потрібні спеціальні знання.

4. Професійні бот мережі стали використовувати передові технології для управління і забезпечення анонімності. Зокрема, деякі мережі стали використовувати технологію аутентифікації portknocking.




Коротко опишемо сенс: щоб відкрити порт для зв'язку з ботом, керуючий центр простукує в певній послідовності, з певним набором даних і з певним типом з'єднання закриті порти, і тільки після цього порт для зв'язку відкривається. До цього мережеву активність бота практично не виявити. Якщо врахувати, що кількість простукування може бути наскільки завгодно великим, то виходить, що це відмінний метод для використання, наприклад, для двофакторної аутентифікації в корпоративній практиці.

Ще один приклад цікавою технологією: вірус, потрапляючи на машину (зазвичай для цього використовуються уразливості браузера чи ОС), самостійно завантажує сірий патч, який цю уразливість закриває. Таким чином, увійшовши в ОС, вірус закриває за собою двері.


– У чому особливість і в чому їх специфічні відмінності і загальні подібності бот мереж в Росії і в решті світу?


По-перше, не можна не згадати про те, що через проблеми з законодавством і, по суті, з правовим свавіллям у мережі Інтернет, бот мережі в Російській Федерації на даний момент і найближчі 5 років будуть основним нелегальним джерелом доходу в мережі. Кримінальні структури вже давно стали частиною цієї спільноти.

Таким чином, власники бот мереж роблять інвестиції, дослідження і розробки спрямовані на:



Перетворившись на сферу бізнесу, бот мережу, як бізнес одиниця розвивається, як звичайна компанія: маркетинг, девелопмент, безпека. Через те що РФ має велику територію, а так само у зв'язку із збільшенням швидкості доступу в мережу інтернет у багатьох регіонах Росії (за оцінками різних аналітиків на момент серпня 2008 року Росія по збільшенню швидкості доступу в інтернет входить до ТОП-10) бот мережі навіть у Росії мають таку розподіленість, яка дозволяє здійснювати DDOS атаки на певний ресурс, виключаючи ботів даного регіону (це використовується для ускладнення розслідування). Іншими словами перебуваючи в місті Анадир можна мати ботнет мережа яка розкидана по всіх інших 83 регіонах Росії, що робить упіймання кіберзлочинця вкрай складною. Деякі бот мережі є суто російськими і використовуються для нелегальної діяльності в інших країнах.

Звідси можна зробити висновок:

Основною відмінністю Росії від країн великої 8-ки, а так само інших розвинених країн світу



У чому полягає бізнес, людей, які створюють бот-мережі

Основним джерелом доходу для власників бот мереж є:



  1. Розсилка спаму. Це дуже вигідний бізнес. Фактично легальний, тому що явних законів, що забороняють розсилку спаму немає.



  1. DDOS атаки. Нелегальне, але тим не менш саме вигідне і небезпечне для атакується подія інформаційної безпеки, найактуальніша загроза і один з кращих способів ведення інформаційної та телекомунікаційної війни. Компанії, які захищаються від DDOS атак – витрачають величезні гроші, тим не менш, перед серйозною бот мережею залишаються уразливими. Спосіб отримання грошей – шантаж або замовлення на конкретний ресурс.
  2. Підбір паролів для подальшого злому будь-якого сервісу (використання бот мережі як розподіленої обчислювальної машини). Використовується для злому сайтів / порталів і т.п.

– Питання від початківця Інтернет користувача: Як зароджуються бот мережі?


Це питання носить важливий характер. Тому що навіть зараз багато, хто читають цю статтю, нічого не підозрюючи, є співучасниками DDOS атаки, наприклад, на великий банківський сервер або ж на будь-яку іншу фірму. Постараємося розповісти все примітивно і по пунктах:



  1. Будь-яке зараження починається з "спаму" певного Інтернет ресурсу, на якому міститься шкідливий код. Злочинець розсилає заражений сайт шляхом e-mail або ICQ. Нічого не підозрюючи Інтернет користувач, потрапляючи на прийом шахрая, переходить за посиланням і йому на комп'ютер автоматично завантажується вірус.
  2. Після чого вірус глибоко ховається в комп'ютер жертви і чекає команди з керуючого центру, який, як правило, власник ботнету встановлює на сервер в далекій і сонячної Панамі чи на Кокосових островах, і в такому випадку засікти власника практично не можливо. (але рано чи пізно можливо все)
  3. Власник мережі чекає моменту, коли заразяться близько 1000 машин і, зайшовши у керуючий центр, натисненням однієї кнопки і певним запитом викликає шквал атак спрямованих на певний ресурс. І буквально протягом 10 хвилин сервер, не справляючись з кількістю запитів, починає виснути.

– Відомо, що кіберзлочинність в цілому носить світовий характер. Чи відомо про можливі зв'язки людей з РФ з такими ж групами за кордоном?


Практика показує, що такі зв'язки, звичайно ж, є. Абсолютними фактами є:

Серед зв'язків переважають:

1. Емігранти першої хвилі після розпаду СРСР. Основні місця проживання США, Канада, Ізраїль, Австралія, Євросоюз

2. Пізні емігранти. (Після 2000 року)

3. Хакери емігранти. Люди, які з метою безпеки покинули нашу країну, але продовжують займатися незаконною діяльністю.

Загальна тенденція така: через відмінності законодавства в різних країнах і великі можливості в Росії по створенню бот мереж ІТ-спеціалісти встановлювали старі або набували нові зв'язки в РФ з метою використовувати наявний у Росії потенціал. Ролі таких людей різні: від організаторів, до посередників західного замовника перед російським виконавцем.

Окремо варто згадати емігрантів, які виїжджають вже з наявними бот-мережами. Зазвичай такі люди виїжджають в країни з дуже слаборозвиненим законодавством 60% (Балі (Індонезія), Гоа (Індія), Панама, Мексика, Бразилія), але є і виключення США, Канада і т.д.

– Як злочинці використовують "вирощені" ботнет мережі?

Існує всього декілька способів, наприклад атака на замовлення конкуруючої компанії або ж просто атака з метою рекету.

Основний спосіб впливу – DDOS атака.

При потужної бот мережі практично 100% результат.


Як же в цілому використовуються бот-мережі?



– Які основні механізми переведення в готівку грошей, отриманих подібними шляхами?

Існує багато способів переведення в готівку грошей отриманих за допомогою такої діяльності. Але найчастіше в РФ використовуються відомі нам системи такі як WebMoney або Яндекс-гроші. Основним способом отримання грошей є безготівкові перекази через системи електронних платежів – Egold і Libery. Далі гроші переводяться в WebMoney: їх можна перевести у готівку в будь-якому банку або перевести на картку.

Вибір цих валют (Egold і Libery) пов'язаний в основному з безпекою учасників угоди. Сервери знаходяться на Панамі, логгірованіе і встановлення ланцюжка транзакцій практично не реально.

Багато платіжні системи WebMoney, Яндекс гроші поступово забороняють обмін з даними валютами, але існує багато способів обходу цих обмежень.

Необхідно додати, що новачки часто використовують і звичайні способи оплати.

Спам оплачується дуже часто за договором з компанією здійснює розсилку, яка в свою чергу способом, описаним вище, здійснює платіж власнику бот мережі.

Останнім часом власники серйозних бот мереж працюють через посередників, використовуючи рекомендації та інші речі для власної безпеки. Про це можна почитати у відповідних топіках (найчастіше закритих) на хак-форумах.

– А які найвідоміші існуючі групи?

Взагалі кажучи, інформація про існуючі групах є конфіденційною, тому що по більшості з них порушені кримінальні справи або йде розробка.

– Бот мережі та DDOS атаки це тільки комерція?

Звичайно, немає. Адже не завжди сенс полягає тільки в грошовому еквіваленті. Як яскраві приклади того може служити хакерські атаки на грузинські сайти під час серпневого конфлікту. При цьому ЗМІ Росії поставилися до цього факту вкрай спокійно, і не однієї справи порушено не було.

Якщо розглядати інші міжнародні атаки, то можна згадати приклад з Естонією. Тоді було розпочато міжнародне розслідування, яке триває й донині. Багато групи брали участь в атаках не з комерційних задумів. Замовника у даних атак не було – вони носили спонтанний політичний характер.

– Які основні етапи замовлення DDOS атаки?

Якщо усереднити наявну в нас інформацію, то можна окреслити наступні стадії:



  1. Одержання замовлення
  2. Виконання тестової роботи
  3. Передоплата (від 50 до 100%)
  4. Виконання роботи

Не варто забувати, що на кожній із студій і замовник і виконавець один – одного перевіряють. Існують чорні і білі списки замовників і виконавців, які можна знайти на хороших хакерських форумах.

– Будь-яка людина може скористатися послугами подібних сервісів в своїх особистих цілях?

На жаль, виходить, що це так. Дійсно будь-хто може зайти на хакерський форум, де він знайде рекламу десятків подібних сервісів. Іноді подібну рекламу можна побачити навіть в оголошеннях Яндекс-директ або Google Adwords. Взяти "на тест" бот мережу може будь-який користувач і, причому абсолютно безкоштовно. Але ж навіть 10 хвилин DDOS "a великої Інтернет компанії може призвести до мільйонних збитків, тому необхідно захистити себе, перш ніж ви опинитеся жертвою злочинців.


– Чи можна зробити ботнет мережа на замовлення? Так би мовити ботнет під ключ?


Можна, тільки це кримінально карається. І ми, як і правоохоронні органи з цим активно боремося.

Але на жаль, дійсно абсолютно кожен з нас може замовити створення DDOS ботнету. Робиться це досить просто: достатньо опублікувати оголошення на одному з хакерських форумів і через деякий час з вами зв'яжуться. Вартість ботнету розраховується з обліку деяких факторів.


Перше що впливає на вартість – це місце розташування центру, тобто іншими словами, де розташований сервер, на якому буде створюватися керуючий центр ботнет мережею. Оренда такого сервера в місяць зараз складає приблизно близько 250 доларів на місяць.

Другий і важливий чинник це сам скрипт керуючого центру і білдер (який робить віруси, що проникають на машину жертви) Вартість такого комплекту варіюється в межах від 500 до 1000 $. Звичайно можна завантажити різні комплекти, які знаходяться в паблік (тобто доступні для вільного скачування) будь-якому користувачеві мережі Інтернет. Але паблік-версії ботів дуже уразливі.


Наступним пунктом можна назвати сплоіт.


Сплоіт

Сплоіт – це спеціальний скрипт розташований на сайті куди потрапляє жертва, що несе в собі шкідливий код який використовує уразливості браузерів. При попаданні на такий сайт, жертві, як правило, завантажується . Exe програма, яка важить близько 3-10кб, і автоматично запускається. Вона абсолютно непомітна для користувача, який може місяцями не здогадуватися, що його комп'ютер використовується в поганих цілях. Дана маленька програмка і є те страшна зброя, за допомогою, якого і відбуваються ddos атаки. Природно не кожен користувач, який потрапляє на заражену сторінку, стає жертвою. Кожен сплоіт характеризується певним відсотком "пробиваючи". Чим більше% – тим відповідно і більше ціна. Наприклад, якщо "пробивши" складає 20%, то це означає, що на 1000 зайшли на заражений сайт відвідувачів 200 осіб завантажать вірус і, як правило, шкідлива програма нормально запуститься лише у 100 – 150 чоловік на увазі різних причин. Максимальний "пробивши" сплоітов може бути не більше 40-45% за умови, що він тільки написаний і використовує самі нові уразливості браузерів. Ціна сплоітов при пробиваючи в 20% зазвичай близько 300 – 500 $. Максимальна ціна приблизно 1000 $ (хоча бувають споіти вартістю 9000-15000 тисяч доларів). У цьому випадку якість сплоітов буде помітно вище.


Трафік.

Трафік – це ті відвідувачі, які заходять на сайт і згодом заражаються. Далі таких користувачів ми будемо називати зомбі – ботами або просто ботами.

Трафік буває різний. Від нього в першу чергу залежить якість DDOS ботнету, тобто такі параметри як потужність ботнету (обчислюється в МБ), швидкість смерті зомбі – пошукових роботів. Зазвичай на хакерських форумах ціни коливаються від 3 $ до 20 $ за 1000 унікальних відвідувачів на сайт. Ціна також залежить від місця розташування користувача, а отже, і ширини його Інтернет каналу.

Тепер нескладними підрахунками ми можемо порахувати, скільки потрібно трафіку та грошових коштів, щоб створити значну ботнет мережа, наприклад з 10000 машин, які будуть перебувати онлайн. Беремо трафік з розрахунку 3 $ за 1000 чоловік при середньому "пробиваючи" сплоітов в 20%. При підрахунку отримаємо 50000 трафіку. Тепер помножимо це на 3 $ за 1000 трафіку і отримаємо 150 $.


Ну і звичайно не варто забувати про винагороду тому, хто для вас створює таку мережу. Як правило, продавець попросить порядку 200 -300 доларів за свою роботу.


Беремо мінімальні значення цін:


Підрахунки:

– Оренда сервера (1 місяць) … … … … … … … … … … … … … … … … … 250 $

– Пакет скриптів + білдер … … … … … … … … … … … … … …. … … … 500 $

– Сплоіт … … … … … … … … … … … … .300 $

– Трафік … … … … … … … … … … …. 150 $

– Робота … … … … … … … … … … … .200 $

Разом: … … … … … … … … … … ..1400 $


Примітка: у жодному разі цю інформацію не варто сприймати як заклик до дії. Ми хочемо лише показати, що зараз подібного роду злочину (а це справжній злочин) здійснюються досить просто. Російському ІТ та ІБ співтовариству необхідно згуртуватися, щоб задавити подібні тенденції в Інтернеті, а не займатися наповненням бюджетів за рахунок впровадження чергових засобів безпеки в нафтогазових компаніях.


Як можна описати процес створення DDOS мережі по пунктах?



  1. Оренда сервера.
  2. Купівля скриптів і білдера.
  3. Установка скриптів на сервер їх налаштування.
  4. Налаштування DDOS вірусу за допомогою білдера
  5. Купівля трафіку

Чи можна купити вже готовий ботнет?

Спеціально ніхто не створює ботнети з метою продажу. Але в повніше можливо, що хтось захоче продати свій існуючий ботнет силу різних причин. Тут основним ціновим фактором є кількість зомбі – Ботів онлайн (тобто які показуються в адмінці) Ціна може бути зовсім різна. Її встановлює продавець.


Як довго може жити ботнет мережа?

Хакер, як садівник – "стежить і доглядає" за своєю мережею. Коли з керуючого центру боту подається команда атаки, яка становить кількістю пакетів, то якщо задати велика кількість, то бот може, не впорається із запитом і померти. Дуже часто причиною смерті бота може бути установка сучасного антивіруса, який виявить і видалить заражений файл.

Ще однією причиною може служити перевстановлення / оновлення Windows або іншої ОС. Також варто відзначити, що кількість ботів непостійно, так як вночі комп'ютери, найчастіше, вимикаються. Але коли користувач знову входить в Інтернет, то бот "прокидається".


Як можна приблизно розрахувати потужність певної мережі?

Наприклад, якщо вам сказали що трафік був німецький, то можна зрозуміти що в Німеччині досить потужні Інтернет канали порядку 2 – 10 мб в кожному будинку. В основному висновок роблять з того звідки був трафік. У нових керуючих центрах можна наочно побачити, скільки і яких ботів присутній в мережі. Наприклад це буде виглядати ось так:



Як розпізнати чи використовується мій комп'ютер в якості одного їх ланок ботнет мережі?

Це можна помітити тільки під час активності вірусу. Самий проста для користувача перевірка в ОС Windows, наприклад: відчутне уповільнення Інтернету, а якщо перейти в диспетчер завдань на вкладку Мережа, то мережа буде використана практично на 100%. Природно це непрофесійний метод і існують спеціальні утиліти, за допомогою яких проводиться аудит.




Яка потужність ботнету здатного зупинити середньостатистичні сервера? Або іншими словами, скільки повинно бути ботів онлайн в керуючому центрі щоб "убити" сервер, якщо вимірювати не в гігабіта, а у ботах?


Знову ж повторюємо, що все залежить країни зомбі-машіни/от протоколу / типу атаки і багатьох багатьох інших факторів. Якщо усереднити, то, як правило, якщо є ботнет чисельністю в 2500 комп'ютерів, які знаходяться на території Німеччини, то такої потужності вистачить, щоб на деякий час зупинити сервер I-Bank середньостатистичного банку РФ (а іноді і дуже великого).

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*