Ботнет Великий и Ужасный

We use cookies. Read the Privacy and Cookie Policy

Ботнет Великий и Ужасный

Автор: Родион Насакин

Для многих не станет откровением тот факт, что рассылка львиной доли спама в Интернете, а равно и хакерские DDoS-атаки на корпоративные и государственные серверы предпринимаются с использованием компьютерных сетей, зараженных вирусами.

Владельцы машин, как правило, даже не подозревают, для каких неблаговидных целей используют их ПК отрицательные персонажи интернет-андеграунда. Год от года сети компьютеров-зомби – ботнеты – становятся все шире, совершенствуется их структура, выявляются новые возможности их использования в криминальных целях. В начале текущего года проблема «заразных» сетей достигла апогея.

Лихая година

Хит-парад

По данным PandaLabs, самыми распространенными заражающими ботами являются Sdbot и Gaobot, на которые приходится 80% всех «новоиспеченных» компьютеров-зомби за первый квартал сего года. За ними с большим отрывом идут Oscarbot, IRCbot и RXbot.

Косвенным признаком, указывающим на серьезность вопроса, можно считать доклад о ботнетах, сделанный не на очередной конференции по информационной безопасности, где затрагиваются темы и пострашнее, а на Мировом экономическом форуме в Давосе. Впрочем, докладчик – один из создателей TCP/IP Винт Серф – не был оригинален. Он в очередной раз рассказал, что такое ботнеты, кому и зачем они нужны, а затем привел статистику. По его данным, четверть компьютеров, подключенных к Интернету во всем мире (а это около 150 млн. машин), может находиться в ботнетах. Джон Маркофф из New York Times в развитие темы вспомнил случай с подключением одной из зараженных сетей к Yahoo, в результате чего 15% пропускной способности поискового сервиса было направлено на обработку запросов сети по скачиванию текстовых фрагментов для маскировки спам-писем. В общем, участники дискуссии сошлись на том, что к борьбе с ботнетами нужно привлечь всех: от пользователей и провайдеров до вендоров аппаратного и программного обеспечения, надзорных органов и правительств.

Конечно, делать выводы об обреченности Интернета рано, однако повод для беспокойства все же имеется. В общем-то, эволюция ботнетов следует по накатанной колее и повторяет тенденцию, свойственную киберпреступности в целом, а именно коммерциализацию хакеров. Хулиганы-идеалисты остались в голливудских сюжетах. В реальности речь идет о серьезном и уже зрелом рынке, на котором ботнеты – просто инструмент, помогающий выполнять хорошо оплачиваемые заказы.

На днях журналисты Washington Post подвели итоги минувшего года в интернет-сфере и назвали его "самым киберпреступным". Правда, поводом для такого заявления стали не прозвучавшие в Давосе цифры, а рекордный уровень спама в прошлом октябре. Тогда соответствующий показатель перевалил за 90% от всего почтового трафика. Активизация спамеров и угроза почтового мусора для интернет-сообщества констатирована в итоговом аналитическом отчете IronPort, авторы которого утверждают, что объемы спама в глобальном трафике за год удвоились. А в ноябре дважды был зарегистрирован резкий скачок спама до 85 млрд. писем в сутки. По данным экспертов, существенная доля спама рассылается силами организованных групп, которые уже выстроили глобальную инфраструктуру для своей деятельности в онлайне и способны отправлять миллиарды сообщений примерно со 100 тысяч серверов из 120 стран.

Интересно, что в прошлом году резко изменилась и временная динамика активности хакеров. Если еще в 2005-м подавляющее число инцидентов приходилось на ночи и уик-энды, то сейчас хакеры не спят и в будни. Таким образом, делает вывод Washington Post, «разведение» и использование ботнетов из экзотического развлечения превратилось в основное занятие немалого числа людей. А поскольку профессионалов в этом «бизнесе» прибыло, то повысился и спрос на зомбированные компьютеры, так что минувший год охарактеризовался еще и огромным количеством обнаруженных дыр в ПО. Солидная доля из них относилась к уязвимостям, найденным уже после того, как ими воспользовались хакеры. Вдобавок если раньше ряды ботнетов пополнялись преимущественно за счет заражения через дыры в браузерах, то теперь злоумышленники освоили и другие виды софта, в том числе текстовые редакторы, плееры и электронные таблицы.

Также резко участились случаи инфицирования через баннеры. Причем речь не идет о рекламе на порносайтах или других маргинальных ресурсах. Вспомним хотя бы инцидент с MySpace в июле прошлого года, когда выяснилось, что транслируемый в крупнейшей социальной сети баннер загружает на пользовательский компьютер троянца, а тот, в свою очередь, – прочий зловредный софт. Всего владельцам баннера удалось заразить 1,07 млн. компьютеров.

История возмездия

Потрясение основ

В 2002-м с помощью ботнетов была проведена одна из самых крупных DDoS-атак на корневые DNS-серверы, породившая небольшую панику относительно перспектив существования Сети. Но помаленьку все утихло. И вот в минувшем феврале было совершено еще одно масштабное нападение, в результате которого три сервера вообще остановились на час. Это послужило поводом для начала новых обсуждений о надежности централизованной веб-инфраструктуры на базе тринадцати серверов.

Уголовное преследование владельцев ботнетов – пока чрезвычайно редкое событие, и количество подобных дел за последние несколько лет можно пересчитать по пальцам одной руки. Самым нашумевшим случаем остается дело Дженсона Джеймса Анчете, который с помощью сети зомбированных компьютеров распространял и устанавливал adware, то есть бесплатный софт, за пользование которым приходится расплачиваться просмотром рекламы. Причем речь шла о продукции относительно «культурной» компании – 180solutions, которая в контрактах с агентами жестко ограничивает методы распространения своих программ, дабы не навлечь бед и не вызвать недовольства пользователей. По крайней мере, так утверждали представители фирмы.

Однако двадцатилетний Анчете оказался чрезвычайно старательным партнером и использовал для инсталляции adware созданный им ботнет, насчитывающий около 400 тысяч компьютеров. Тогда в 180solutions пришли люди из ФБР и легко убедили компанию сотрудничать с ними в поимке и сборе доказательств о преступлениях Анчете. Впрочем, круг интересов последнего был гораздо шире, нежели установка adware. Хакер охотно сдавал ботнет в аренду спамерам. В число зараженных попали машины авиабазы ВМС США в Чайна-Лейк, что и привлекло внимание спецслужб и породило невиданную прежде ретивость в поимке киберпреступника. После ареста и закрытия ботнета уровень спама в общем почтовом трафике резко пошел на убыль.

По вынесенному в мае прошлого года приговору Анчете лишился свободы на 57 месяцев, вернул $60 тысяч незаконной прибыли и был оштрафован на $15 тысяч за проникновение в компьютеры военного объекта.

Еще один приговор по делу о ботнетах был вынесен уже в этом году, на сей раз в Нидерландах. Тамошний суд приговорил к тюремному заключению и штрафам в размере 4 тысяч и 9 тысяч евро двух хакеров, организовавших ботнет из нескольких миллионов компьютеров. Впрочем, сразу после оглашения приговора подсудимых отпустили, так как они уже отсидели свои сроки во время предварительного заключения.

В деле снова фигурировала 180solutions. Пару лет назад сотрудники компании заметили у одного из своих голландских агентов необычно высокий объем установок adware, заподозрили его в нарушении условий партнерского договора и попытались выйти на связь, но безуспешно. Тогда сотрудничество было прервано по инициативе 180solutions. Прекратив получать деньги, экс-агент тут же отреагировал, однако вместо того, чтобы покаяться, начал вымогать у компании причитающуюся ему, как он считал, сумму, угрожая в противном случае устроить DDoS-атаку. Когда хакер получил отказ и перешел к действиям, 180solutions уже сама обратилась в ФБР. Компания «согласилась» с требованиями рэкетира и перевела запрашиваемые деньги на указанный банковский счет, не забыв передать реквизиты правоохранительным органам. После этого ФБР обратилось в свое юридическое представительство в Нидерландах, через которое о преступлении были проинформированы голландские власти. В ходе расследования полицейским удалось установить личности авторов троянца W32.Toxbot, «плетущего» из компьютеров ботнеты.

Спам и фишинг

Использование сетей зараженных ПК дает возможность проводить масштабную спам-рассылку за несколько часов, оперативно меняя источник отправки сообщений и тем самым обходя средства фильтрации на основе правил и черных списков. В IronPort полагают, что сейчас более 80% спама рассылается с ботнетов, а средняя продолжительность использования одного компьютера-зомби не превышает месяца.

Гади Эврон, израильский специалист по информационной безопасности, оценил доходность сетей компьютеров-зомби в 2006 году в $2 млрд. Владельцы ботнетов, по его сведениям, в основном зарабатывают на фишинге, рассылая миллионы электронных писем-завлекалок. Трафик от пользователя к «подставному» сайту все чаще проходит через ботнет, что позволяет обойти защиту браузерных антифишинговых систем. Главной целью атак остается финансовый сектор, а самыми популярными логотипами фишеров по-прежнему являются eBay и PayPal.

При этом эффективных средств противодействия ботнетам на сегодняшний практически не существует, что отчасти связанно с тем, что технологии управления зомбированными компьютерами постоянно модифицируются. Дефицит оборонительных возможностей ярко подчеркивает прошлогодний случай с компанией Blue Security, которая работала над антиспамовой системой, и, похоже, небезуспешно. Во всяком случае, она привлекла внимание одного из спамеров под ником PharmaMaster (говорят, наш соотечественник), который настоятельно порекомендовал разработчикам свернуть проект, угрожая в противном случае обрушить корпоративные серверы DDoS-атакой. В Blue Security угрозу проигнорировали, и, как выяснилось, зря. Под валом мусорных запросов все серверы компании стали недоступными. Специалисты в срочном порядке стали просчитывать варианты защиты и пришли к неутешительному выводу, что практически ничего не могут противопоставить злоумышленнику. Компания признала свое поражение и решила испытать силы в менее опасных сферах.

Вторит экспертам и TrendMicro, исследователи которой, изучив криминальную обстановку в Сети в 2006-м, считают, что в текущем году инструментарий для криминальных атак будет состоять преимущественно из комбинированного ПО, оснащенного средствами маскировки и защиты от систем сетевой безопасности, а практика использования преступными группировки ботнетов получит еще большее распространение. Это, в свою очередь, повысит спрос на вирусы, троянцы и spyware, позволяющие «рекрутировать» в сети зомби новые компьютеры, и укрепит альянс между спамерам, разрабатывающими вредоносное ПО, фишерами и прочими представителями интернет-криминалитета.

Децентрализация

$50 000 за эксплойт

Департамент ФБР, занимающийся хакерами и прочими киберпреступниками, по количеству сотрудников уступает только подразделениям, ведающим разведкой и борьбой с терроризмом. По данным этого департамента, основная преступная активность сосредоточена в странах Восточной Европы, в том числе России. Но больше отличился за последнее время все же румынский онлайн-сегмент, где на одном из хакерских форумов за $50 тысяч уже предлагался эксплойт под Windows Vista, позволяющий создать ботнет.

Традиционной средой для организации ботнетов являются IRC-серверы. После заражения компьютера вирус инсталлирует программу-робота, которая через заданные промежутки времени обращается к одному или группе IRC-серверов за командами так называемого мастера, то есть лица, управляющего ботнетом. Такая схема предусматривает взаимодействие всех ботов с одним центральным звеном, что делает сеть уязвимой, поскольку удаление сервера полностью нейтрализует ботнет.

Однако в декабре 2006 года выяснилось, что злоумышленникам удалось решить эту проблему. Специалисты SecureWorks обнаружили в Интернете нового троянца SpamThru, который объединяет компьютеры-зомби по принципу децентрализации. В создаваемом таким образом ботнете каждый участник получает информацию о других, и если управляющий сервер вдруг отключается, достаточно дать одному из ботов координаты нового источника команд, чтобы возобновить работу. Устойчивость ботнетов в этом случае заметно возрастает, и представители MessageLabs полагают, что в текущем году пиринговые зомби будут интенсивно плодиться. Также специалисты компании соотносят появление SpamThru, который, по их сведениям, был запущен в октябре прошлого года, со скачком спам-трафика в тот же период.

Получив доступ к файлам командного сервера, в SecureWorks выяснили, что разработчики SpamThru, по всей видимости, родом из России. Об этом свидетельствуют имена файлов и текст исходного кода. Также удалось выявить структуру сформированного ботнета. Сеть состоит из 73 тысяч инфицированных компьютеров, которые распределяются между портами сервера в зависимости от модификации SpamThru и группируются в пиринговые сегменты – по 512 машин в каждом. География зараженных зомби тоже впечатляет. Компьютеры ботнета обнаружены в 166 странах, хотя более половины все же сосредоточены на территории США. Интересно, что около половины ботов были установлены на компьютерах, работающих под управлением Windows XP SP2. Так что интерес Microsoft к этой угрозе вполне оправдан. Штат отдела корпорации по борьбе с ботнетами – Internet Safety Enforcement, в котором раньше работало только три человека, недавно был расширен до 65 сотрудников, а представитель Microsoft отметил, что в 2007 году ботнеты станут одной из самых серьезных проблем безопасности в Интернете.

Дабы укрепить неуязвимость ботнета, его владельцы установили беспрецедентно высокую частоту обращений ботов при сбое или отказе сервера – до 3 млн. запросов в сутки. Троян также занимается сбором почтовых адресов с винчестеров зараженных машин для формирования спамерской базы. Кроме того, на сервере был найден софт для взлома сайтов финансово-новостной тематики. Причем целью взломщика тоже служили списки почтовых адресов, по которым впоследствии рассылалась реклама биржевых услуг. Генерируются спам-письма по шаблонам, позволяющим избежать обнаружения большинством распространенных фильтров. Сообщения включают как текст, так и картинки со случайным набором пикселов. Дабы не попасть в спам-списки, хакеры наладили циркуляцию в ботнете регулярно обновляемого списка прокси-серверов, доступного всем ботам.

Грабь награбленное

Большие сети компьютеров-зомби формируются, как правило, вследствие распространения червей, использующих свежую уязвимость или просто талантливо (в определенном смысле) написанных, так что создать свой ботнет "на ровном месте" могут немногие. И те, кто не в состоянии сформировать сеть с нуля, но испытывают в ней настоятельную потребность, иногда приобретают уже готовый ботнет или «уводят» его у своих "коллег". Для этих целей даже разработаны специальные хакерские утилиты.

В поисках особого пути

Децентрализация ботнетов в случае со SpamThru – не единственное новшество в организации зараженных сетей. Уже в 2007 году представители компании Apbor Networks заявили, что им удалось обнаружить несколько ботнетов, не использующих IRC-каналы. Вместо этого боты связывались по не вызывающим подозрений веб-соединениям. В случае с такими сетями становятся неэффективными алгоритмы многих IPS/IDS-систем, выявляющих вторжения по подозрительной IRC-активности. А чтобы опознать контактирующих через веб ботов, необходимо задать в сигнатурах, то есть в профилях атак в IDS/IPS, конечные адреса обращений ботов или команды управления сетью зомби. Разумеется, этих данных у специалистов по безопасности зачастую нет.

И наконец, в марте о свежей возможности организации ботнетов сообщил Билли Хоффман, сотрудник компании SPI Dynamics. Он написал на JavaScript приложение Jikto, которое позволяет заставить зараженные компьютеры искать дыры на сайтах и в случае обнаружения устраивать атаки или красть информацию. В отличие от ранее применявшихся хакерами сканеров уязвимостей, Jikto работает непосредственно через браузер. Скрипт получает команды от своего разработчика, не оставляя следов пребывания на компьютере-зомби, и делает практически невозможным обнаружение виновника атаки, так как сканирование фактически осуществляют сами пользователи зараженных машин. Хозяин может отдавать Jikto приказы, сообщая, какой сайт и на какого рода уязвимость нужно проверить.

Код Jikto можно подхватить как на сайте самого хакера, так и на других ресурсах в случае их взлома с использованием дыры в XSS. Запускается скрипт практически на любом браузере в тайне от пользователя и не может быть обнаружен антивирусом. Появление таких аналогов в руках злоумышленников тоже представляет собой глобальную угрозу, хотя бы на первый взгляд. Если наличие пропатченного браузера, антивируса с обновленными базами, эффективного спам-фильтра и правильно настроенного файрволла делает риск зомбирования компьютера через троянца или червя относительно низким, то против Jikto, как и любого другого вредоносного JavaScript-скрипта, буде такой появится, все эти средства бессильны.

Сам Хоффман полагает, что его творение кардинально меняет представление о возможностях JavaScript, и собирается продемонстрировать Jikto на конференции Black Hat в Лас-Вегасе этим летом. Есть, правда, надежда, что хакеры со скепсисом отнесутся к детищу Хоффмана из-за сравнительно низкой скорости его работы в качестве сканера уязвимостей. Такие мнения уже встречаются на некоторых форумах. А что касается возможности скрыть личность злоумышленника, то аналогичного эффекта можно достичь, использовав в ботнете цепочку из прокси-серверов.