Ботнет

У статті мова піде про те, що таке зомбі-мережі, або ботнети, як вони формуються, хто і як наживається з їх допомогою, а також про те, які тенденції розвитку ботнетів.

и існують вже близько 10 років, і приблизно стільки ж експерти попереджають про ту небезпеку, яку вони представляють. Тим не менше, проблема ботнетів і раніше залишається недооціненою, і багато користувачі (до тих пір поки їм не відключать Інтернет, поки вони не виявлять зникнення грошей з кредитних карт або у них не вкрадуть поштову скриньку або аккаунт IM) погано розуміють, у чому полягає реальна загроза зомбі-мереж.


Що таке ботнет


Отже, перш за все, давайте розберемося, що таке ботнет або зомбі-мережу.


– Це мережа комп’ютерів, заражених шкідливою програмою поведінки Backdoor. Backdoor “и дозволяють кіберзлочинцям віддалено керувати зараженими машинами (кожної окремо, частиною комп’ютерів, що входять в мережу, або всією мережею цілком) без відома користувача. Такі програми називаються ботами.


и володіють потужними обчислювальними ресурсами, є грізним кіберзброї і хорошим способом заробляння грошей для зловмисників. При цьому зараженими машинами, що входять у мережу, господар ботнету може управляти звідки завгодно: з іншого міста, країни або навіть з іншого континенту, а організація Інтернету дозволяє робити це анонімно.


Управління комп’ютером, який заражений ботом, може бути прямим і опосередкованим. У разі прямого управління зловмисник може встановити зв’язок з інфікованим комп’ютером і керувати ним, використовуючи вбудовані в тіло програми-бота команди. У разі опосередкованого управління бот сам з’єднується з центром управління або іншими машинами в мережі, посилає запит і виконує отриману команду.


У будь-якому випадку господар зараженої машини, як правило, навіть не підозрює про те, що вона використовується зловмисниками. Саме тому заражені шкідливою програмою-ботом комп’ютери, що знаходяться під таємним контролем кіберзлочинців, називають ще зомбі-комп’ютерами, а мережу, до якої вони входять, – зомбі-мережею. Найчастіше зомбі-машинами стають персональні комп’ютери домашніх користувачів.


Використання ботнетів


и можуть використовуватися зловмисниками для вирішення кримінальних завдань різного масштабу: від розсилки спаму до атак на державні мережі.


Розсилка спаму. Це найбільш поширений і один з найпростіших варіантів експлуатації ботнетів. За експертними оцінками, в даний час більше 80% спаму розсилається з зомбі-машин. Спам з ботнетів не обов’язково розсилається власниками мережі. За певну плату спамери можуть взяти ботнет в оренду.


Саме спамери можуть по достоїнству оцінити ефективність ботнету: за нашими даними, середньостатистичний спамер заробляє 50-100 тисяч доларів на рік. Багатотисячні ботнети дозволяють спамерам здійснювати з заражених машин мільйонні розсилки протягом короткого часу. Крім забезпечення швидкості та масштабності розсилок, ботнети вирішують ще одну проблему спамерів. Адреси, з яких активно розсилається спам, часто потрапляють в чорні списки поштових серверів, і листи, які приходять з них, блокуються або автоматично позначаються як спам. Розсилка спаму з сотень тисяч зомбі-машин дозволяє не використовувати для розсилки одні й ті ж адреси.


Ще один “бонус” ботнетів – можливість збору адрес електронної пошти на заражених машинах. Вкрадені адреси продаються спамерам або використовуються при розсилці спаму самими господарями ботнету. При цьому зростаючий ботнет дозволяє отримувати нові й нові адреси.


Кібершантаж. и широко використовуються і для проведення DDoS атак (Distributed Denial of Service – розподілена атака типу «відмова в обслуговуванні”). У ході такої атаки з заражених ботом машин створюється потік помилкових запитів на атакується сервер в Мережі. В результаті сервер через перевантаження стає недоступним для користувачів. За зупинку атаки зловмисники, як правило, вимагають викуп.


Сьогодні багато компаній працюють тільки через Інтернет, і для них недоступність серверів означає повну зупинку бізнесу, що, природно, призводить до фінансових втрат. Щоб якнайшвидше повернути стабільність своїм серверам, такі компанії швидше виконають вимоги шантажистів, ніж звернуться в поліцію за допомогою. Саме на це і розраховують кіберзлочинці, тому DDoS-атак стає все більше.


DDoS-атаки можуть використовуватися і як засіб політичного впливу. У цих випадках атакуються, як правило, сервери державних установ або урядових організацій. Небезпека такого роду атак полягає ще й у тому, що вони можуть носити провокаційний характер: кібератака серверів однієї країни може здійснюватися з серверів інший, а управлятися з території третьої держави.


Анонімний доступ в Мережу. Зловмисники можуть звертатися до серверів у Мережі, використовуючи зомбі-машини, і від імені заражених машин вчиняти кіберзлочини – наприклад, зламувати веб-сайти або переводити вкрадені грошові кошти.


Продаж і оренда ботнетів. Один з варіантів незаконного заробітку за допомогою ботнетів грунтується на здачу ботнету в оренду або продажу готової мережі. Створення ботнетів для продажу є окремим напрямком кіберзлочинністю бізнесу.


Фішинг. Адреси фішингових сторінок може досить швидко потрапити в чорні списки. дає можливість Фішер швидко міняти адресу фішингової сторінки, використовуючи заражені комп’ютери в ролі проксі-серверів. Це дозволяє приховати реальну адресу веб-сервера фішера.


Крадіжка конфіденційних даних. Цей вид кримінальної діяльності, мабуть, ніколи не перестане приваблювати кіберзлочинців, а за допомогою ботнетів улов у вигляді різних паролів (для доступу до E-Mail, ICQ, FTP-ресурсам, веб-сервісів) та інших конфіденційних даних користувачів збільшується в тисячі разів! Бот, яким заражені комп’ютери на зомбі-мережі, може скачати іншу шкідливу програму – наприклад, троянця, ворующего паролі. У такому випадку інфікованими троянською програмою виявляться всі комп’ютери, що входять в цю зомбі-мережу, і зловмисники зможуть роздобути паролі зі всіх заражених машин. Вкрадені паролі перепродаються або використовуються, зокрема, для масового зараження веб-сторінок (наприклад, паролі для всіх знайдених FTP-акаунтів) з метою подальшого розповсюдження шкідливої ​​програми-бота і розширення зомбі-мережі.


Команди для ботів


Команди, які виконують боти, бувають найрізноманітніші, але, як правило, вони входять до наведеного нижче списку. Назви команд можуть відрізнятися в різних реалізаціях ботів, але суть залишається тією ж.


Update: завантажити і виконати зазначений виконуваний файл або модуль з вказаного сервера. Ця команда є базовою, оскільки саме вона реалізується в першу чергу. Вона дозволяє оновлювати виконуваний файл бота за наказом господаря зомбі-мережі, у разі якщо господар хоче встановити модернізовану версію бота. Ця ж команда дозволяє заражати комп’ютер іншими шкідливими програмами (вірусами, хробаками), а також встановлювати інші боти на комп’ютер. За допомогою цієї команди на всі комп’ютери одночасно можуть бути встановлені троянські програми, які шукають усі паролі, коли-небудь введені на даному комп’ютері та збережені в його пам’яті, і пересилають їх на сервер в Інтернеті.


Flood: розпочати процес створення потоку помилкових запитів на вказаний сервер в Мережі з метою виведення з ладу сервера або перевантаження інтернет-каналу зазначеного сегменту глобальної Мережі. Створення подібного потоку може викликати серйозні неполадки сервера, що призводять до його недоступності для звичайних користувачів. Такий тип атаки з використанням ботнетів носить назву DDoS-атаки. Типів різних варіантів створення помилкових мережевих запитів існує дуже багато, тому ми не будемо описувати їх усі і обмежимося лише загальним поняттям.


Spam: завантажити шаблон спам-повідомлення і почати розсилку спаму на зазначені адреси (для кожного бота виділяється своя порція адрес).


Proxy: використовувати даний комп’ютер як проксі-сервер. Найчастіше ця функція не виділяється в окрему команду, а відразу включається в загальний функціонал бота. Це одна із прикладних функцій, що дозволяє використовувати будь-який комп’ютер з ботнету як проксі-сервер з метою приховування реальної адреси зловмисника, керуючого ботнетом.


Існують і інші команди, проте вони не входять до числа найбільш популярних і тому реалізовані лише в окремих ботах. Ці додаткові команди дозволяють одержувати копії зображення з екрану користувача, стежити за введенням паролів з клавіатури, запитувати файл з протоколом мережевого спілкування користувача (використовується для крадіжки аккаунтів і конфіденційних даних), пересилати вказаний файл з комп’ютера користувача, запитувати серійні номери програмного забезпечення, отримувати докладну інформацію про систему користувача і його оточенні, запитувати список комп’ютерів, що входять в ботнет, і т. п.


Типи ботнетів


Класифікація ботнетів сьогодні достатня проста. Вона грунтується на архітектурі ботнетів і протоколах, що використовуються для управління ботами.


Класифікація ботнетів. Архітектура


До цих пір були відомі лише два типи архітектури ботнетів.



  1. и з єдиним центром. У ботнет з такою архітектурою всі зомбі-комп’ютери з’єднуються з одним центром управління, або C & C (Command & Control Centre). C & C очікує підключення нових ботів, реєструє їх у своїй базі, стежить за їх станом і видає їм команди, вибрані власником ботнету зі списку всіх можливих команд для бота. Відповідно, в C & C видні всі підключені зомбі-комп’ютери, а для управління централізованої зомбі-мережею господареві мережі необхідний доступ до командного центру.


    Рис. 1. Централізована топологія (C & C)


    и з централізованим управлінням є найпоширенішим типом зомбі-мереж. Такі ботнети легше створювати, ними легше управляти, і вони швидше реагують на команди. Втім, боротися з ботнетами з централізованим управлінням теж легше: для нейтралізації всього ботнету достатньо закрити C & C.


  2. Децентралізовані ботнети, або P2P-ботнети (Від англ. “Peer-to-peer”, що означає “з’єднання типу” точка-точка “”). У разі децентралізованого ботнету боти з’єднуються не з центром управління, а з декількома зараженими машинами з зомбі-мережі. Команди передаються від бота до боту: у кожного бота є список адрес декількох “сусідів”, і при отриманні команди від будь-кого з них він передає її іншим, тим самим поширюючи команду далі. У цьому випадку зловмисникові, щоб керувати всім ботнетом, досить мати доступ хоча б до одного комп’ютера, що входить в зомбі-мережу.


    Рис. 2 Децентралізована топологія (P2P)


    На практиці побудова децентралізованого ботнету не дуже зручно, оскільки кожному новому зараженого комп’ютера необхідно надати список тих ботів, з якими він буде зв’язуватися в зомбі-мережі. Набагато простіше спочатку направити бот на централізований сервер, де він отримає список ботів-“сусідів”, а потім вже переключити бот на взаємодію через P2P-підключення. Така змішана топологія також відноситься до типу P2P, хоча на окремому етапі боти використовують C & C. Боротися з децентралізованими ботнетами набагато складніше, оскільки в чинному ботнеті центр управління відсутня.


Класифікація ботнетів. Використовувані мережеві протоколи


Для передачі боту команд господаря ботнету необхідно, як мінімум, встановити мережне з’єднання між зомбі-комп’ютером і комп’ютером, передавальним команду. Всі мережеві взаємодії засновані на мережевих протоколах, що визначають правила спілкування комп’ютерів в мережі. Тому існує класифікація ботнетів, заснована на використовуваному протоколі спілкування.


За типом використовуваних мережевих протоколів ботнети діляться на наступні групи.



  1. IRC-орієнтовані. Це один з найперших видів ботнетів, де управління ботами здійснювалося на основі IRC (Internet Relay Chat). Кожен заражений комп’ютер з’єднувався з вказаним в тілі програми-бота IRC-сервером, заходив на певний канал і чекав команди від свого господаря.
  2. IM-orientedIM-орієнтовані. Не дуже популярний вид ботнетів. Відрізняється від своїх IRC-орієнтованих побратимів тільки тим, що для передачі даних використовуються канали IM-служб (Instant Messaging), наприклад AOL, MSN, ICQ і ін Невисока популярність таких ботнетів обумовлена ​​складнощами, що виникають при створенні окремого аккаунта IM-служби для кожного бота. Справа в тому, що боти повинні виходити в Мережу і постійно присутньою онлайн. Оскільки більшість IM-служб не дозволяють входити в систему з різних комп’ютерів, використовуючи один і той же аккаунт, у кожного бота повинен бути свій номер IM-служби. При цьому власники IM-служб всіляко перешкоджають будь автоматичної реєстрації акаунтів. У результаті господарі IM-орієнтованих ботнетів сильно обмежені в числі наявних зареєстрованих акаунтів, а значить і в числі ботів, одночасно присутніх в Мережі. Звичайно, боти можуть використовувати один і той же аккаунт, виходити в онлайн один раз в певний проміжок часу, відсилати дані на номер господаря і протягом короткого проміжку часу чекати відповіді, але це все вельми проблематично: така мережа реагує на команди дуже повільно.
  3. Веб-орієнтовані. Відносно нова і швидко розвивається гілку ботнетів, орієнтована на управління через www. Бот з’єднується з певним веб-сервером, отримує з нього команди і передає у відповідь дані. Такі ботнети популярні в силу відносної легкості їх розробки, великого числа веб-серверів в Інтернеті і простоти управління через веб-інтерфейс.
  4. Інші. Крім перерахованих вище існують і інші види ботнетів, які з’єднуються на основі свого власного протоколу, базуючись лише на стеку протоколів TCP / IP: використовують лише загальні протоколи TCP, ICMP, UDP.

Еволюція ботнетів


Історія ботнетів почалася в 1998-1999 роках, коли з’явилися перші програми поведінки Backdoor – досить відомі NetBus та BackOrifice2000. Це були концепти, тобто програми, в яких реалізовані принципово нові технологічні рішення. NetBus та BackOrifice2000 вперше несли повний набір функцій віддаленого управління зараженим комп’ютером, що дозволяло зловмисникам працювати з файлами на віддаленому комп’ютері, запускати нові програми, отримувати знімки екрану, відкривати / закривати CD-привод і т.д.


Спочатку створені як троянські програми, бекдори працювали без дозволу або повідомлення користувача. Для управління зараженим комп’ютером зловмисник повинен був сам встановити з’єднання з кожною інфікованої машиною. Перші бекдори працювали в локальних мережах на основі стеку протоколів TCP / IP і, по суті, були демонстрацією варіантів використання Windows API для віддаленого управління комп’ютером.


Клієнтські програми для віддаленого управління комп’ютерами вже на початку 2000-х могли одночасно керувати відразу декількома машинами. Однак, на відміну від сучасних бекдорів, програми NetBus та BackOrifice2000 виступали в ролі мережевого сервера: вони відкривали певний порт і пасивно чекали підключень господаря (Backdoor “и, використовувані для побудови ботнетів сьогодні, встановлюють з’єднання самі).


Потім хтось із зловмисників придумав зробити так, щоб заражені бекдор комп’ютери самі виходили на зв’язок і їх завжди можна було бачити онлайн (за умови, що вони включені і працюють). Швидше все, цей “хтось” був хакером, тому що боти нового покоління використовували традиційний для хакерів канал зв’язку – IRC (Internet Relay Chat). Ймовірно, розробку нових ботів сильно спростило те, що в самій системі IRC спочатку функціонували боти з відкритим вихідним кодом, але не спрямовані на віддалене керування системою, а з іншим функціоналом (ці програми відповідали на запити користувачів, наприклад, видавали інформацію про погоду або про час останньої появи певного користувача в чаті).


Комп’ютери, заражені новими ботами, стали з’єднуватися з IRC-серверами, в якості відвідувачів виходити на зв’язок через певний IRC-канал і чекати вказівок від господаря ботнету. Господар міг у будь-який час з’явитися онлайн, побачити список ботів, відіслати команди відразу всім заражених комп’ютерів або відправити окреме повідомлення одній машині. Це був перший механізм реалізації ботнету з централізованим управлінням, пізніше названий C & C (Command & Control Centre).


Розробка таких ботів була нескладною завдяки простоті синтаксису протоколу IRC. Для того щоб використовувати IRC-сервер, необов’язково потрібна спеціалізована клієнтська програма. Достатньо мати універсальний мережевий клієнт, такий як додаток Netcat або Telnet.


Про появу IRC-ботнетів стало відомо досить швидко. Як тільки про них з’явилися публікації в хакерських журналах, з’явилися “викрадачів” ботнетів люди, які володіли, можливо, тими ж знаннями, що і власники ботнетів, але полювали за більш легкою наживою. Вони шукали такі IRC-канали, де було підозріло багато відвідувачів, заходили на них, вивчали і “гнали” ботнет: перехоплювали управління мережею, перенаправляли боти на інші, захищені паролем, IRC-канали і в результаті отримували повний одноосібний контроль над “чужий” мережею заражених машин.


Наступним етапом розвитку ботнетів стало переміщення центрів управління у всесвітню павутину. Спочатку хакери розробили засоби віддаленого управління сервером, які були засновані на таких популярних скрипт-движках, як Perl і PHP, в рідкісних випадках – ASP, JSP і декількох інших. Потім хтось створив таке з’єднання комп’ютера в локальній мережі з сервером в Інтернеті, яке дозволяло звідки завгодно управляти комп’ютером. Схема віддаленого управління комп’ютером в локальній мережі в обхід таких засобів захисту, як проксі і NAT, була опублікована в Інтернеті і швидко стала популярною в певних колах. Віддалене управління було засноване на встановленні HTTP-з’єднання з керуючим сервером з використанням локальних настройок комп’ютера. Якщо користувач встановлював у налаштуваннях системи адресу, порт, логін і пароль для проксі-сервера, автоматично активізувався механізм авторизації бібліотеки функцій для підтримки протоколу HTTP (Wininet.dll). З точки зору програміста, це було простим і доступним рішенням.


Напівлегальні розробки засобів віддаленого управління, спрямовані на отримання в обхід захисту віддаленого доступу до машин в локальних мережах, дали поштовх до створення веб-орієнтованих ботнетів. Трохи пізніше був розроблений простий скрипт управління невеликою мережею комп’ютерів, а зловмисники знайшли спосіб використовувати такі керовані мережі в корисливих цілях.


Веб-орієнтовані ботнети виявилися надзвичайно зручним рішенням, яке популярне й сьогодні. Безліччю комп’ютерів можна керувати за будь-якого пристрою, що має доступ в Інтернет, в тому числі з мобільного телефону, що підтримує WAP / GPRS, а з веб-інтерфейсом здатний впоратися навіть школяр. Подальший розвиток Інтернету і вдосконалення технологій веб-розробки також стимулювали використання веб-ботнетів.


Були спроби створити ботнети, керовані через канали IM-служб. Але IM-ботнети не набули широкого поширення, зокрема тому, що вони вимагають реєстрації номерів IM, а в умовах, коли системи захисту від автоматичної реєстрації акаунтів постійно змінюються, зареєструвати безліч акаунтів автоматично досить складно.


На цьому еволюція ботнетів не закінчилася: перебравши варіанти використання протоколів, розробники ботнетів переключилися на архітектуру мережі. Виявилося, що ботнет класичної архітектури (багато ботів і один центр управління) надзвичайно уразливий, оскільки залежить від критичного вузла – центру управління, при відключенні якого мережу можна вважати втраченою. Рішення у вигляді одночасного зараження комп’ютерів різними ботами, орієнтованими на різні центри управління, іноді спрацьовують, але такі ботнети набагато складніше підтримувати, оскільки потрібно стежити відразу за двома-трьома центрами управління.


Досить ефективними і небезпечними з точки зору експертів можуть стати ботнети з архітектурою P2P, в яких центру управління немає. Власникові мережі досить дати команду однієї з машин, далі боти передають команду самі. В принципі кожен комп’ютер в ботнеті може з’єднатися з будь-яким іншим комп’ютером, що входять в ту ж мережу. Експерименти по створенню таких ботнетів проводилися досить давно, проте перший великомасштабний ботнет на основі P2P-архітектури з’явився тільки в 2007 році. І саме P2P-ботнети зараз займають увагу дослідників інформаційної безпеки.


P2P-ботнети


“Штормовий” ботнет


У 2007 році увага дослідників інформаційної безпеки привернув P2P-ботнет, створений на основі шкідливої ​​програми, відомої як Storm Worm. Автори “штормового” хробака поширювали своє дітище вельми активно: по-видимому, вони створили цілу фабрику по створенню нових версій шкідливої ​​програми. Починаючи з січня 2007 року ми щодня отримуємо 3-5 різних варіантів Storm Worm (по класифікації “Лабораторії Касперського” – Email-Worm.Win32.Zhelatin).


Деякі експерти вважають, що Storm Worm являє собою шкідливу програму для побудови зомбі-мереж нового покоління. Про те, що бот був розроблений і розповсюджується професіоналами в своїй області, а архітектура і захист зомбі-мережі добре продумані, свідчать наступні характеристики “штормового” ботнету:



Storm-ботнет приніс чимало проблем. Крім масової розсилки спаму, його підозрюють в участі в різних великомасштабних DDoS-атаки по всьому світу, і, за заявами деяких дослідників, навіть під час кібератаки на сайти естонських урядових установ в 2007 році не обійшлося без участі “штормового” ботнету. Те, на що потенційно здатна така мережа, викликає неприємні відчуття у провайдерів і інтернет-хостерів. Напруги додає той факт, що справжні розміри “штормового” ботнету так і залишилися таємницею. Якщо інші зомбі-мережі, повністю або частково спираються на C & C, можна побачити повністю (В C & C видний кожний підключений зомбі-комп’ютер), то списку заражених машин, що входять в “штормовий” ботнет, не бачив ніхто з експертів. За різними оцінками, розміри ботнету Storm Worm могли становити від 50 тисяч до 10 мільйонів зомбі-машин.


До кінця 2007 року Storm-ботнет як ніби розтанув, хоча ми як і раніше щодня отримуємо кілька нових версій бота. Деякі експерти вважають, що зомбі-мережу розпродали по частинах, інші вважають, що ботнет виявився нерентабельним: його розробка та підтримка не окупалися одержуваної прибутком.


Mayday


Ще одним цікавим, на наш погляд, ботнетом, який технологічно дещо відрізняється від своїх попередників, є Mayday. Таку назву бот (по класифікації “Лабораторії Касперського – Backdoor.Win32.Mayday) і створена на його основі мережу отримали завдяки тому, що ім’я домену, до якого зверталася шкідлива програма в одній із своїх модифікацій, включало в себе слово “mayday”.


Mayday – це черговий ботнет, побудований на архітектурі P2P. Після запуску бот з’єднується з вказаним в тілі програми веб-сервером, реєструється в його базі даних і отримує список всіх ботів в зараженій мережі (в разі Storm Worm це була лише частина списку). Далі бот встановлює з’єднання типу “комп’ютер-комп’ютер” з іншими ботами, що входять в зомбі-мережу.


Нами було зареєстровано 6 різних серверів по всьому світу (у Великобританії, США, Нідерландах, Німеччині), з якими зв’язувалися боти на стадії побудови ботнету. До початку березня в працездатному стані залишився лише один із серверів, на якому було зареєстровано близько 3 тисяч ботів (нагадаємо, що, за найскромнішими оцінками, в “штормовий” ботнет входили десятки тисяч заражених машин). Крім розмірів мережі, Mayday явно поступається своєму “старшому братові” Storm в декількох важливих позиціях: в Mayday-ботнеті використовується примітивний нешифровані протокол спілкування, код шкідливої ​​програми не піддався спеціальної обробці для ускладнення його аналізу антивірусним ПЗ, і, головне, нові варіанти бота випускаються зовсім не з тієї періодичністю, яку ми бачимо у випадку Storm Worm. Програма Backdoor.Win32.Mayday була вперше задетектірована “Лабораторією Касперського” ще в кінці листопада 2007 року, і за чотири минулі місяці в нашу колекцію потрапило трохи більше 20 різних варіантів програми.


Що стосується технологічних новинок, то слід відзначити два нестандартних підходу, реалізованих в ботнеті.


По-перше, в мережі Mayday комунікація типу “комп’ютер-комп’ютер” (P2P) спочатку заснована на передачі ICMP-повідомлень з 32-байтной корисним навантаженням.


Більшості користувачів протокол ICMP (Internet Control Message Protocol – міжмережевий протокол керуючих повідомлень) знаком з прикладної утиліті PING, що використовує ICMP для перевірки доступності мережевого хоста. Однак основні функції протоколу значно ширше. Ось що сказано про ICMP в Wikipedia: “ICMP – мережевий протокол, який входить в стек протоколів TCP / IP. В основному ICMP використовується для передачі повідомлень про помилки і в інших виняткових ситуаціях, що виникли при передачі даних. Також на ICMP покладаються деякі сервісні функції “.


На малюнку 10 зображено інтерфейс програми-сніфер мережевих пакетів, що зареєструвала передачу ICMP-пакетів від бота Mayday. Ніякої з ботів, відомих нам раніше, не використовував ICMP для передачі даних.


Рис. 3. ICMP-пакети, що відправляються ботом Mayday


За допомогою ICMP здійснюється перевірка доступності ботів в зараженій мережі та їх ідентифікація. Оскільки бот Mayday орієнтований на роботу в Windows XP SP2, після запуску він змінює правила мережевого екрану Windows, Так щоб отримання ICMP-пакетів було дозволено.


Другий і, мабуть, основною особливістю Mayday-ботнету є його центр управління.


Для роботи центрів управління веб-орієнтованих ботнетів використовується механізм, відомий як CGI (Common Gateway Interface). Спочатку технологією веб-серверів була передбачена можливість використання виконуваних файлів в якості реалізації CGI, пізніше з’явилися різні скрипт-движки. CGI-додаток генерує в реальному часі контент запитуваної користувачем веб-сторінки, забезпечуючи виконання програми та виведення результатів її роботи замість статичних даних з сервера. CGI-скрипт працює за аналогічною схемою, але для виведення результатів своєї роботи йому потрібно інтерпретатор – скрипт-движок. Як правило, командні центри веб-орієнтованих ботнетів розробляються зловмисниками з використанням скрипт-движків.


У співпраці з правоохоронними органами нам вдалося отримати копію програми, яка працює в командному центрі ботнету Mayday. Серверне ПЗ Mayday являє собою цільний (без модулів) 1,2-мегабайтний виконуваний ELF-файл (Linux-аналог виконуваних EXE-файлів Microsoft Windows), що не вимагає наявності скрипт-движка в системі. На перший погляд, нічого дивного в розробці авторами Mayday CGI-додатки замість CGI-скрипта начебто немає. Тим не менш, таке рішення викликає низку запитань.


Розробка CGI-додатки на пару порядків складніше розробки CGI-скрипта, оскільки вимагає особливих зусиль для реалізації стабільного та надійного коду. В даний час 99% веб-розробок ведеться на основі скрипт-движків, а монолітні виконувані CGI-програми створюються лише в разі жорсткої необхідності оптимізувати все до дрібниць. Як правило, такий підхід використовується великими корпораціями при розробці проектів, які повинні працювати в умовах величезних навантажень. Монолітні виконувані CGI-програми використовуються, наприклад, у таких веб-системах, як e-Bay, Paypal, Yahoo та ін


Навіщо ж створювався безмодульний виконуваний файл в разі ботнету Mayday? Однією з можливих причин могло бути бажання розробників ускладнити “чужинцям” задачу редагування, перенастроювання і перепродажу центру управління. У будь-якому випадку аналіз структури серверного ПЗ Mayday дає підставу припускати, що така серйозна розробка (код акуратно причесаний, створена система класів універсальна) вимагає добре організованої команди розробників. Більш того, для створення ПЗ Mayday-ботнету зловмисникам, швидше за все, довелося вести роботу над двома різними проектами: розробкою програм для Windows і для Linux.


Навесні 2008 року “Лабораторією Касперського” не було зафіксовано жодного нового зразка Mayday-бота. Можливо, автори шкідливої ​​програми взяли таймаут, і Mayday-ботнет ще проявить себе в недалекому майбутньому.


-бізнес


Відповідь на питання, чому ботнети продовжують розвиватися і стають все більш актуальною проблемою, можна отримати, оцінивши нинішній стан ринку ботнетів. Сьогодні кіберзлочинцям, які хочуть побудувати ботнет, не потрібні ні спеціальні знання, ні великі грошові суми. Підпільна ботнет-індустрія за подібною ціною надає бажаючим обзавестися ботнетом все необхідне: ПЗ, готові мережі й послуги по анонімному хостингу.


Заглянемо на інтернет-форуми, що спеціалізуються на продажі нелегального софта і послуг, подивимося, як працює ботнет-індустрія, обслуговуюча господарів зомбі-мереж.


Перше, що необхідно для побудови ботнету, – це сам бот, програма, що дозволяє віддалено виконувати на комп’ютері користувача деякі дії без відома користувача. ПЗ для створення ботнету можна легко купити в Мережі, знайшовши відповідне оголошення та звернувшись до того, хто його розмістив.


Рис. 4. Оголошення про продаж бота і панелі управління (переклад з російської)


Ціни на боти варіюються від $ 5 до $ 1000, залежно від того, наскільки поширений бот, детектується чи він антивірусом, які команди підтримує і т.д.


Для побудови найпростішого веб-орієнтованого ботнету необхідно мати хостінговую майданчик, де можна розмістити центр управління. Будь-який бажаючий може купити таку площадку – разом з послугами служби підтримки і можливістю анонімної роботи з сервером (хостер, як правило, гарантує недоступність файлів журналу для кого, у тому числі для “компетентних” органів). Оголошень, подібних до наведеного нижче, на форумах в Інтернеті досить багато.


Рис. 5. Пропозиція хостинг-послуг для побудови ботнету


Коли майданчик C & C побудована, необхідні заражені ботом машини. Бажаючі можуть купити вже готову мережу з “чужим” встановленим ботом. Оскільки випадки крадіжки ботнетів в середовищі зловмисників не рідкість, покупці, як правило, воліють замінити на власні і шкідливу програму, і центр управління, отримавши гарантований контроль над зомбі-мережею. Для цього боту в купленій мережі дають команду скачати і запустити новий бот (з новою адресою C & C) і самоудаліться. Тим самим “чужа” програма-бот замінюється на “свою”, і ботнет починає взаємодіяти з новим центром управління. Така “перезавантаження” ботнетів є незайвою і з точки зору їх захищеності і анонімності: “старий” C & C і “старий” бот ще до продажу цілком можуть потрапити в поле зору фахівців з комп’ютерної безпеки.


На жаль, побудувати власний ботнет також не складає особливих труднощів: для цього є спеціальні засоби. Найпопулярніші з них – програмні пакети, відомі як MPack, IcePack і WebAttacker. Вони дозволяють заражати комп’ютерні системи відвідувачів шкідливої ​​веб-сторінки, використовуючи уразливості в програмному забезпеченні браузерів або в плагінах до них. Такі програмні пакети називаються веб-системами масового зараження або просто ExploitPack. Після спрацьовування експлойта браузер покірно завантажує з Мережі на комп’ютер користувача виконуваний файл і запускає його. Таким файлом якраз і є програма-бот, яка підключає новий зомбі-комп’ютер в ботнет і передає управління їм зловмисникові.


На жаль, ці кошти настільки доступні, що навіть підлітки з легкістю їх знаходять і намагаються заробити на перепродажу.


Рис. 6. Оголошення про продаж MPack, вивішене 16-річним підлітком


Цікаво, що ExploitPack спочатку були розроблені російськими хакерами, однак знайшли своїх клієнтів і в інших країнах. Ці шкідливі програми були локалізовані (що свідчить про їх комерційному успіху на чорному ринку) і тепер активно використовуються, наприклад, у Китаї.


Рис. 7. Оригінальна російська версія IcePack


Рис. 8. Локалізована китайська версія IcePack


Будь-яка система тим популярнішим і тим успішніше на кіберкрімінальном ринку, чим простіше її використовувати. Це розуміють і розробники таких систем, тому для підвищення популярності своїх дітищ і відповідно збільшення попиту на них розробляють прості механізми установки і конфігурування систем – будь то система для C & C або просто ExploitPack.


Так, наприклад, установка командного центру, як правило, складається з копіювання файлів на бік веб-сервера і звернення за допомогою браузера до скрипта install.php. Значно полегшує задачу наявність веб-інтерфейсу інсталятора: кіберзлочинцям досить правильно заповнити поля веб-форми, щоб командний центр був правильно налаштований і почав працювати.


Рис. 9. Веб-інсталятор C & C


У кіберкрімінальном світі добре відомо, що рано чи пізно антивіруси почнуть детектувати програму-бота. Як наслідок, ті заражені машини, на яких стоїть антивірус, для зловмисників будуть втрачені, а швидкість зараження нових комп’ютерів значно знизиться. Є кілька способів, за допомогою яких господарі ботнетів намагаються зберегти свої мережі. Найбільш ефективний – захист шкідливої ​​програми від детектування за допомогою спеціальної обробки виконуваного коду: кіберкрімінальний ринок пропонує широкий вибір послуг по його шифруванню, упаковці та обфускаціі.


Рис. 10. Пропозиція послуги з обробки програм для приховування коду від антивіруса


Таким чином, все, що необхідно для успішного існування і розвитку ботнетів, є в Інтернеті, і зупинити розвиток ботнет-індустрії поки неможливо.


Висновок


На сьогоднішній день ботнети є одним з основних джерел нелегального заробітку в Інтернеті і грізною зброєю в руках зловмисників. Очікувати, що кіберзлочинці відмовляться від настільки ефективного інструменту, не доводиться, і експерти з безпеки з тривогою дивляться в майбутнє, очікуючи подальшого розвитку ботнет-технологій.


Небезпека ботнетів посилюється тим, що їх створення і використання стає все більш простим завданням, з якою в найближчому майбутньому будуть в змозі впоратися навіть школярі. А ціни на розвиненому і структурованому ботнет-ринку досить помірні.


У побудові інтернаціональних ботнетів можуть бути зацікавлені не тільки кіберзлочинці, але й держави, готові використовувати зомбі-мережі як інструмент політичного тиску. Крім того, можливість анонімно управляти зараженими машинами незалежно від їх географічного знаходження дозволяє провокувати конфлікти між державами: достатньо організувати кібератаку на сервери однієї країни з комп’ютерів інший.


Мережі, що об’єднують ресурси десятків, сотень тисяч, а часом і мільйонів заражених машин, володіють дуже небезпечним потенціалом, який (на щастя!) Поки не використовувався в повному обсязі. Між тим, вся ця грізна кібермощь спирається на інфіковані комп’ютери домашніх користувачів. Саме вони складають переважну більшість зомбі-машин, і саме їх зловмисники використовують в своїх цілях.


Якщо ви згадаєте десять своїх друзів і знайомих, у яких є комп’ютери, то, швидше за все, один з них є власником машини, що входить в яку-небудь зомбі-мережу. А може бути, це саме ваш комп’ютер?!

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*