Ботнети існують вже близько 10 років, і приблизно стільки ж експерти попереджають про ту небезпеку, яку вони представляють. Тим не менше, проблема ботнетів раніше залишається недооціненою, і багато користувачів (до тих пір поки їм не відключать Інтернет, поки вони не виявлять зникнення грошей з кредитних карт або у них не вкрадуть поштову скриньку або аккаунт IM - Instant messaging - сервіс, призначений для обміну повідомленнями в режимі реального часу) погано розуміють, в чому полягає реальна загроза зомбі-мереж. Ботнет - це мережа комп'ютерів, заражених шкідливою програмою поведінки Backdoor. Backdoor'и дозволяють кіберзлочинцям віддалено керувати зараженими машинами (кожної окремо, частиною комп'ютерів, що входять в мережу, або усією мережею цілком) без відома користувача. Такі програми називаються ботами.
Ботнети володіють потужними обчислювальними ресурсами, є грізним Кіберзброя і хорошим способом заробляння грошей для зловмисників. При цьому зараженими машинами, що входять в мережу, господар ботнету може керувати звідки завгодно: з іншого міста, країни або навіть з іншого континенту, а організація Інтернету дозволяє робити це анонімно.
Управління комп'ютером, який заражений ботом, може бути прямим і опосередкованим. У випадку прямого управління зловмисник може встановити зв'язок з інфікованим комп'ютером і керувати ним, використовуючи вбудовані в тіло програми-бота команди. У разі опосередкованого управління бот сам з'єднується з центром управління або іншими машинами в мережі, надсилає запит і виконує отриману команду.
У будь-якому випадку господар зараженої машини, як правило, навіть не підозрює про те, що вона використовується зловмисниками. Саме тому заражені шкідливою програмою-ботом комп'ютери, що знаходяться під таємним контролем кіберзлочинців, називають ще зомбі-комп'ютерами, а мережу, до якої вони входять, - зомбі-мережею. Найчастіше зомбі-машинами стають персональні комп'ютери домашніх користувачів. Використання ботнетів
Ботнети можуть використовуватися зловмисниками для вирішення кримінальних завдань різного масштабу: від розсилки спаму до атак на державні мережі.
Розсилка спаму. Це найбільш поширений і один з найпростіших варіантів експлуатації ботнетів. За експертними оцінками, в даний час більше 80% спаму розсилається з зомбі-машин. Спам з ботнетів не обов'язково розсилається власниками мережі. За певну плату спамери можуть взяти ботнет в оренду.
Саме спамери можуть гідно оцінити ефективність ботнету: за нашими даними, середньостатистичний спамер заробляє 50-100 тисяч доларів на рік. Багатотисячні ботнети дозволяють спамерам здійснювати з заражених машин мільйонні розсилки протягом короткого часу. Окрім забезпечення швидкості і масштабності розсилок, ботнети вирішують ще одну проблему спамерів. Адреси, з яких активно розсилається спам, часто потрапляють в чорні списки поштових серверів, і листи, що приходять з них, блокуються або автоматично позначаються як спам. Розсилка спаму з сотень тисяч зомбі-машин дозволяє не використовувати для розсилки одні й ті ж адреси.
Ще один «бонус» ботнетів - можливість збору адрес електронної пошти на заражених машинах. Вкрадені адреси продаються спамерам або використовуються при розсилці спаму самими господарями ботнету. При цьому зростаючий ботнет дозволяє отримувати нові і нові адреси.
Кібершантаж. Ботнети широко використовуються і для проведення DDoS атак (Distributed Denial of Service - розподілена атака типу «відмова в обслуговуванні»). У ході такої атаки з заражених ботом машин створюється потік помилкових запитів на атакується сервер в Мережі. В результаті сервер через перевантаження стає недоступним для користувачів. За зупинку атаки зловмисники, як правило, вимагають викуп.
Сьогодні багато компаній працюють тільки через Інтернет, і для них недоступність серверів означає повну зупинку бізнесу, що, природно, призводить до фінансових втрат. Щоб скоріше повернути стабільність своїх серверів, такі компанії швидше виконають вимоги шантажистів, ніж звернуться в поліцію за допомогою. Саме на це і розраховують кіберзлочинці, тому DDoS-атак стає все більше.
DDoS-атаки можуть використовуватися і як засіб політичного впливу. У цих випадках атакуются, як правило, сервери державних установ або урядових організацій. Небезпека такого роду атак полягає ще й у тому, що вони можуть носити провокаційний характер: кібератака серверів однієї країни може здійснюватися з серверів інший, а управлятися з території третьої держави.
Анонімний доступ в Мережу. Зловмисники можуть звертатися до серверів в Мережі, використовуючи зомбі-машини, і від імені заражених машин здійснювати кіберзлочини - наприклад, зламувати веб-сайти або переводити вкрадені кошти.
Продаж і оренда ботнетів. Один з варіантів незаконного заробітку за допомогою ботнетів ґрунтується на здачі ботнету в оренду або продажу готової мережі. Створення ботнетів для продажу є окремим напрямком кіберзлочинністю бізнесу.
Фішинг. Адреси фішингових сторінок можуть досить швидко потрапити в чорні списки. Ботнет дає можливість фішерами швидко змінювати адресу фішинговою сторінки, використовуючи заражені комп'ютери в ролі проксі-серверів. Це дозволяє приховати реальну адресу веб-сервера Фішера.
Крадіжка конфіденційних даних. Цей вид кримінальної діяльності, мабуть, ніколи не перестане приваблювати кіберзлочинців, а за допомогою ботнетів улов у вигляді різних паролів (для доступу до E-Mail, ICQ, FTP-ресурсів, веб-сервісів) та інших конфіденційних даних користувачів збільшується в тисячі разів. Бот, яким заражені комп'ютери на зомбі-мережі, може скачати іншу шкідливу програму - наприклад, троянця, ворующего паролі. У такому випадку інфікованими троянської програмою опиняться всі комп'ютери, що входять в цю зомбі-мережу, і зловмисники зможуть дістати паролі зі всіх заражених машин. Вкрадені паролі перепродаються або використовуються, зокрема, для масового зараження веб-сторінок (наприклад, паролі для всіх знайдених FTP-акаунтів) з метою подальшого поширення шкідливої програми-бота і розширення зомбі-мережі.
Команди для ботів
Команди, які виконують роботи, бувають різні, але, як правило, вони входять в нижченаведений список. Назви команд можуть відрізнятися в різних реалізаціях ботів, але суть залишається тією ж.
Update: завантажити і виконати зазначений виконуваний файл або модуль з зазначеного сервера. Ця команда є базовою, оскільки саме вона реалізується в першу чергу. Вона дозволяє оновлювати виконуваний файл бота за наказом господаря зомбі-мережі, у разі якщо господар хоче встановити модернізовану версію бота. Ця ж команда дозволяє заражати комп'ютер іншими шкідливими програмами (вірусами, хробаками), а також встановлювати інші боти на комп'ютер. За допомогою цієї команди на всі комп'ютери одночасно можуть бути встановлені троянські програми, які шукають всі паролі, коли-небудь введені на даному комп'ютері та збережені в його пам'яті, і пересилають їх на сервер в Інтернеті.
Flood: розпочати процес створення потоку помилкових запитів на вказаний сервер в Мережі з метою виведення з ладу сервера або перевантаження інтернет-каналу зазначеного сегменту глобальної Мережі. Створення подібного потоку може викликати серйозні неполадки сервера, що призводять до його недоступності для звичайних користувачів. Такий тип атаки з використанням ботнетів носить назву DDoS-атаки. Типів різних варіантів створення помилкових мережевих запитів існує дуже багато.
Spam: завантажити шаблон спам-повідомлення і почати розсилку спаму на зазначені адреси (для кожного бота виділяється своя порція адрес).
Proxy: використовувати даний комп'ютер як проксі-сервер. Найчастіше ця функція не виділяється в окрему команду, а відразу включається до загального функціонал бота. Це одна із прикладних функцій, що дозволяє використовувати будь-який комп'ютер з ботнету як проксі-сервер з метою приховування реального адреси зловмисника, керуючого ботнетом.
Існують і інші команди, проте вони не входять в число найбільш популярних і тому реалізовані лише в окремих ботах. Ці додаткові команди дозволяють отримувати копії зображення з екрану користувача, стежити за введенням паролів з клавіатури, запитувати файл з протоколом мережевого спілкування користувача (використовується для крадіжки акаунтів і конфіденційних даних), пересилати вказаний файл з комп'ютера користувача, запитувати серійні номери програмного забезпечення, отримувати детальну інформацію про систему користувача і його оточенні, запитувати список комп'ютерів, що входять в ботнет, і т. п.
Типи ботнетів
Класифікація ботнетів сьогодні достатня проста. Вона грунтується на архітектурі ботнетів і протоколах, що використовуються для управління ботами.
Класифікація ботнетів. Архітектура
До цих пір були відомі лише два типи архітектури ботнетів.
1. Ботнети з єдиним центром. У ботнетах з такою архітектурою всі зомбі-комп'ютери з'єднуються з одним центром управління, або CC (CommandControl Centre). CC очікує підключення нових ботів, реєструє їх у своїй базі, стежить за їх станом і видає їм команди, обрані власником ботнету зі списку всіх можливих команд для бота. Відповідно, в CC видно всі підключення зомбі-комп'ютери, а для управління централізованої зомбі-мережею господареві мережі необхідний доступ до командного центру. Ботнети з централізованим управлінням є найпоширенішим типом зомбі-мереж. Такі ботнети легше створювати, ними легше керувати, і вони швидше реагують на команди. Втім, боротися з ботнетами з централізованим управлінням теж легше: для нейтралізації всього ботнету досить закрити CC.
2. Децентралізовані ботнети, або P2P-ботнети (Від англ. «Peer-to-peer», що означає «з'єднання типу" точка-точка "«). У разі децентралізованого ботнету боти з'єднуються не з центром управління, а з кількома зараженими машинами з зомбі-мережі. Команди передаються від бота до боту: у кожного бота є список адрес кількох «сусідів», і при отриманні команди від будь-кого з них він передає її іншим, тим самим поширюючи команду далі. У цьому випадку зловмисникові, щоб керувати всім ботнетом, досить мати доступ хоча б до одного комп'ютера, що входить в зомбі-мережу.
На практиці побудова децентралізованого ботнету не дуже зручно, оскільки кожному новому зараженого комп'ютера необхідно надати список тих ботів, з якими він буде зв'язуватися в зомбі-мережі. Набагато простіше спочатку направити бот на централізований сервер, де він отримає список ботов- "сусідів", а потім вже переключити бот на взаємодію через P2P-підключення. Така змішана топологія також відноситься до типу P2P, хоча на окремому етапі боти використовують CC. Боротися з децентралізованими ботнетами набагато складніше, оскільки в чинному ботнеті центр управління відсутня.
Класифікація ботнетів. Використовувані мережеві протоколи
Для передачі боту команд господаря ботнету необхідно, як мінімум, встановити мережеве з'єднання між зомбі-комп'ютером і комп'ютером, що передає команду. Всі мережеві взаємодії засновані на мережевих протоколах, що визначають правила спілкування комп'ютерів в мережі. Тому існує класифікація ботнетів, заснована на використовуваному протоколі спілкування.
За типом використовуваних мережевих протоколів ботнети діляться на наступні групи. - IRC-орієнтовані. Це один з найперших видів ботнетів, де управління ботами здійснювалося на основі IRC (Internet Relay Chat). Кожен заражений комп'ютер з'єднувався з вказаним в тілі програми-бота IRC-сервером, заходив на певний канал і чекав команди від свого господаря.
- IM-oriented. IM-орієнтовані. Не дуже популярний вид ботнетів. Відрізняється від своїх IRC-орієнтованих побратимів тільки тим, що для передачі даних використовуються канали IM-служб (Instant Messaging), наприклад AOL, MSN, ICQ та ін. Невисока популярність таких ботнетів обумовлена складнощами, що виникають при створенні окремого аккаунта IM-служби для кожного бота. Справа в тому, що боти повинні виходити в Мережу і постійно бути присутнім онлайн. Оскільки більшість IM-служб не дозволяють входити в систему з різних комп'ютерів, використовуючи один і той же акаунт, у кожного бота повинен бути свій номер IM-служби. При цьому власники IM-служб всіляко перешкоджають будь автоматичної реєстрації акаунтів. В результаті господарі IM-орієнтованих ботнетів сильно обмежені в числі наявних зареєстрованих акаунтів, а значить і в числі ботів, одночасно присутніх в Мережі. Звичайно, боти можуть використовувати один і той же акаунт, виходити в онлайн один раз в певний проміжок часу, відсилати дані на номер господаря і протягом короткого проміжку часу чекати відповіді, але це все вельми проблематично: така мережа реагує на команди дуже повільно.
- Веб-орієнтовані. Відносно нова і швидко розвивається галузь ботнетів, орієнтована на управління через Бот з'єднується з певним веб-сервером, отримує з нього команди і передає у відповідь дані. Такі ботнети популярні в силу відносної легкості їх розробки, великого числа веб-серверів в Інтернеті і простоти управління через веб-інтерфейс.
- Інші. Крім перерахованих вище існують і інші види ботнетів, які з'єднуються на основі свого власного протоколу, базуючись лише на стеку протоколів TCP / IP: використовують лише загальні протоколи TCP, ICMP, UDP.
Еволюція ботнетів
Історія ботнетів почалася в 1998-1999 роках, коли з'явилися перші програми поведінки Backdoor - досить відомі NetBus і BackOrifice2000. Це були концепти, тобто програми, в яких реалізовані принципово нові технологічні рішення. NetBus і BackOrifice2000 вперше несли повний набір функцій віддаленого управління зараженим комп'ютером, що дозволяло зловмисникам працювати з файлами на віддаленому комп'ютері, запускати нові програми, отримувати знімки екрану, відкривати / закривати CD-привід і т.д.
Спочатку створені як троянські програми, бекдори працювали без дозволу або повідомлення користувача. Для управління зараженим комп'ютером зловмисник повинен був сам встановити з'єднання з кожної інфікованої машиною. Перші бекдори працювали в локальних мережах на основі стека протоколів TCP / IP і, по суті, були демонстрацією варіантів використання Windows API для віддаленого управління комп'ютером.
Клієнтські програми для віддаленого управління комп'ютерами вже на початку 2000-х могли одночасно керувати відразу декількома машинами. Однак, на відміну від сучасних бекдор, програми NetBus і BackOrifice2000 виступали в ролі мережевого сервера: вони відкривали певний порт і пасивно чекали підключень господаря (Backdoor'и, використовувані для побудови ботнетів сьогодні, встановлюють з'єднання самі).
Потім, хтось із зловмисників придумав зробити так, щоб заражені бекдор комп'ютери самі виходили на зв'язок і їх завжди можна було бачити онлайн (за умови, що вони включені і працюють). Швидше за все, цей «хтось» був хакером, тому що боти нового покоління використовували традиційний для хакерів канал зв'язку - IRC (Internet Relay Chat). Ймовірно, розробку нових ботів сильно спростило те, що в самій системі IRC спочатку функціонували боти з відкритим вихідним кодом, але не спрямовані на віддалене керування системою, а з іншим функціоналом (ці програми відповідали на запити користувачів, наприклад, видавали інформацію про погоду або про часу останньої появи певного користувача в чаті).
Комп'ютери, заражені новими ботами, стали з'єднуватися з IRC-серверами, в якості відвідувачів виходити на зв'язок через певний IRC-канал і чекати вказівок від господаря ботнету. Господар міг у будь-який час з'явитися онлайн, побачити список ботів, відіслати команди відразу всім заражених комп'ютерів або відправити окреме повідомлення одній машині. Це був перший механізм реалізації ботнету з централізованим управлінням, пізніше названий CC (Command Control Centre).
Розробка таких ботів була нескладною завдяки простоті синтаксису протоколу IRC. Для того щоб використовувати IRC-сервер, необов'язково потрібна спеціалізована клієнтська програма. Достатньо мати універсальний мережевий клієнт, такий як додаток Netcat або Telnet.
Про появу IRC-ботнетів стало відомо досить швидко. Як тільки про них з'явилися публікації в хакерських журналах, з'явилися «викрадачі» ботнетів люди, які володіли, можливо, тими ж знаннями, що і власники ботнетів, але полювали за більш легкою наживою. Вони шукали такі IRC-канали, де було підозріло багато відвідувачів, заходили на них, вивчали і «гнали» ботнет: перехоплювали управління мережею, перенаправляли боти на інші, захищені паролем, IRC-канали і в результаті отримували повний одноосібний контроль над «чужий» мережею заражених машин.
Наступним етапом розвитку ботнетів стало переміщення центрів управління у всесвітню павутину. Спочатку хакери розробили засоби віддаленого управління сервером, які були засновані на таких популярних скрипт-движках, як Perl і PHP, в окремих випадках - ASP, JSP та кількох інших. Потім хтось створив таке з'єднання комп'ютера в локальній мережі з сервером в Інтернеті, яке дозволяло звідки завгодно управляти комп'ютером. Схема віддаленого управління комп'ютером в локальній мережі в обхід таких засобів захисту, як проксі і NAT, була опублікована в Інтернеті і швидко стала популярною в певних колах. Віддалене управління було засновано на встановленні HTTP-з'єднання з керуючим сервером з використанням локальних налаштувань комп'ютера. Якщо користувач встановлював в налаштуваннях системи адреса, порт, логін і пароль для проксі-сервера, автоматично активізувався механізм авторизації бібліотеки функцій для підтримки протоколу HTTP (Wininet.dll). З погляду програміста, це було простим і доступним рішенням.
Напівлегальні розробки засобів віддаленого управління, спрямовані на отримання в обхід захисту віддаленого доступу до машин в локальних мережах, дали поштовх до створення веб-орієнтованих ботнетів. Трохи пізніше був розроблений простий скрипт управління невеликою мережею комп'ютерів, а зловмисники знайшли спосіб використовувати такі керовані мережі в корисливих цілях.
Веб-орієнтовані ботнети виявилися надзвичайно зручним рішенням, яке популярне і сьогодні. Безліччю комп'ютерів можна керувати за будь-якого пристрою, що має доступ в Інтернет, у тому числі з мобільного телефону, що підтримує WAP / GPRS, а з веб-інтерфейсом здатний впоратися навіть школяр. Подальший розвиток Інтернету та вдосконалення технологій веб-розробки також стимулювали використання веб-ботнетів.
Були спроби створити ботнети, керовані через канали IM-служб. Але IM-ботнети не набули широкого поширення, зокрема тому, що вони вимагають реєстрації номерів IM, а в умовах, коли системи захисту від автоматичної реєстрації акаунтів постійно змінюються, зареєструвати безліч акаунтів автоматично досить складно.
На цьому еволюція ботнетів не закінчилася: перебравши варіанти використання протоколів, розробники ботнетів переключилися на архітектуру мережі. Виявилося, що ботнет класичної архітектури (багато ботів і один центр управління) надзвичайно уразливий, оскільки залежить від критичного вузла - центру управління, при відключенні якого мережу можна вважати втраченою. Рішення у вигляді одночасного зараження комп'ютерів різними ботами, орієнтованими на різні центри управління, іноді спрацьовують, але такі ботнети набагато складніше підтримувати, оскільки потрібно стежити відразу за двома-трьома центрами управління.
Досить ефективними і небезпечними з точки зору експертів можуть стати ботнети з архітектурою P2P, в яких центру управління немає. Власнику мережі досить дати команду однієї з машин, далі боти передають команду самі. В принципі кожен комп'ютер в ботнет може з'єднатися з будь-яким іншим комп'ютером, що входять в ту ж мережу. Експерименти по створенню таких ботнетів проводилися досить давно, проте перший великомасштабний ботнет на основі P2P-архітектури з'явився тільки в 2007 році. І саме P2P-ботнети зараз займають увагу дослідників інформаційної безпеки.
P2P-ботнети
«Штормовий» ботнет
У 2007 році увага дослідників інформаційної безпеки привернув P2P-ботнет, створений на основі шкідливої програми, відомої як Storm Worm. Автори «штормового» хробака поширювали своє дітище досить активно: мабуть, вони створили цілу фабрику по створенню нових версій шкідливої програми. Починаючи з січня 2007 року ми щодня отримуємо 3-5 різних варіантів Storm Worm (за класифікацією «Лабораторії Касперського» - Email-Worm.Win32.Zhelatin).
Деякі експерти вважають, що Storm Worm являє собою шкідливу програму для побудови зомбі-мереж нового покоління. Про те, що бот був розроблений і розповсюджується професіоналами у своїй галузі, а архітектура і захист зомбі-мережі добре продумані, свідчать наступні характеристики «штормового» ботнету: - Код бота мутує, що нагадує поліморфні віруси. Відмінність Storm Worm полягає в тому, що код, який здійснює мутації, працює не всередині самої програми (як у поліморфіків), а на спеціальному комп'ютері в Мережі. Цей механізм отримав назву «серверний поліморфізм» (server-side polymorphism).
- Мутації відбуваються досить часто (були зафіксовані випадки мутацій разів на годину) і - головне - на стороні сервера, так що оновлення антивірусних баз для багатьох користувачів виявляються неефективними.
- Штормовий ботнет захищає свої ресурси від занадто цікавих дослідників. Багато антивірусні компанії періодично скачують нові екземпляри хробака з серверів, звідки відбувається поширення шкідливої програми. Коли виявляються часті звернення з одного і того ж адреси, ботам дається команда почати DDoS-атаку цієї адреси.
- Шкідлива програма-бот намагається якомога непомітніше функціонувати в системі. Очевидно, що програма, яка постійно атакує комп'ютер або проявляє велику мережеву активність, швидше звертає на себе увагу і адміністраторів, і користувачів. Тому дозована активність, яка не вимагає використання значної кількості комп'ютерних ресурсів, з точки зору шкідливої програми найбільш безпечна.
- Замість комунікації з центральним сервером штормовий черв'як пов'язується лише з кількома «сусідніми» комп'ютерами в зараженій мережі, що робить завдання виявлення всіх зомбі-машин в P2P-мережі практично нездійсненним. Це принцип організації розвідгрупи: кожен, хто входить в таку групу, знає тільки кількох інших членів групи, і провал одного агента розвідки не означає, що вся група розкрита.
- Автори хробака постійно змінюють способи його поширення. Спочатку шкідлива програма поширювалася як вкладення в спамова листи (зокрема, під виглядом PDF-файлів) - потім в спам розсилалися посилання на заражені файли- були також спроби автоматичного розміщення в блогах коментарів, які містили посилання на заражені веб-сторінки. І при будь-яких способах поширення цієї шкідливої програми використовувалися витончені методи соціальної інженерії.
Storm-ботнет приніс чимало проблем. Крім масової розсилки спаму, його підозрюють в участі в різних великомасштабних DDoS-атаках по всьому світу, і, за заявами деяких дослідників, навіть під час кібератаки на сайти естонських урядових установ в 2007 році не обійшлося без участі «штормового» ботнету. Те, на що потенційно здатна така мережа, викликає неприємні відчуття у провайдерів та інтернет-хостерів. Напруження додає той факт, що справжні розміри «штормового» ботнету так і залишилися таємницею. Якщо інші зомбі-мережі, повністю або частково спираються на CC, можна побачити цілком (в CC видно кожен підключений зомбі-комп'ютер), то списку заражених машин, що входять в «штормовий» ботнет, не бачив ніхто з експертів. За різними оцінками, розміри ботнету Storm Worm могли становити від 50 тисяч до 10 мільйонів зомбі-машин.
До кінця 2007 року Storm-ботнет ніби розтанув, хоча ми як і раніше щодня отримуємо кілька нових версій бота. Деякі експерти вважають, що зомбі-мережа розпродали по частинах, інші вважають, що ботнет виявився нерентабельним: його розробка та підтримка не окупалися одержуваної прибутком.
Mayday
Ще одним цікавим ботнетом, який технологічно дещо відрізняється від своїх попередників, є Mayday. Таку назву бот (за класифікацією «Лабораторії Касперського - Backdoor.Win32.Mayday) і створена на його основі мережу отримали завдяки тому, що ім'я домену, до якого зверталася шкідлива програма в одній зі своїх модифікацій, включало в себе слово« mayday ».
Mayday - це черговий ботнет, побудований на архітектурі P2P. Після запуску бот з'єднується з вказаним в тілі програми веб-сервером, реєструється в його базі даних і отримує список всіх ботів в зараженій мережі (у разі Storm Worm це була лише частина списку). Далі бот встановлює з'єднання типу «комп'ютер-комп'ютер» з іншими ботами, що входять в зомбі-мережу.
Зараз зареєстровано 6 різних серверів по всьому світу (у Великобританії, США, Нідерландах, Німеччині), з якими зв'язувалися боти на стадії побудови ботнету. До початку березня в працездатному стані залишився лише один з серверів, на якому було зареєстровано близько 3 тисяч ботів. Крім розмірів мережі, Mayday явно поступається своєму «старшому братові» Storm в декількох важливих позиціях: в Mayday-ботнеті використовується примітивний нешифрований протокол спілкування, код шкідливої програми не піддався спеціальній обробці для ускладнення його аналізу антивірусним ПЗ, і, головне, нові варіанти бота випускаються зовсім не з того періодичністю, як у випадку Storm Worm. Програма Backdoor.Win32.Mayday була вперше задетектірована «Лабораторією Касперського» ще наприкінці листопада 2007 року, і за чотири минулі місяці з'явилося трохи більше 20 різних варіантів програми.
Що стосується технологічних новинок, то слід зазначити два нестандартних підходу, реалізованих в ботнет.
По-перше, в мережі Mayday комунікація типу «комп'ютер-комп'ютер» (P2P) спочатку заснована на передачі ICMP-повідомлень з 32-байтной корисним навантаженням.
Більшості користувачів протокол ICMP (Internet Control Message Protocol - міжмережевий протокол керуючих повідомлень) знаком з прикладної утиліті PING, що використовує ICMP для перевірки доступності мережевого хоста, але основні функції протоколу значно ширше. Ось що сказано про ICMP в Wikipedia: «ICMP - мережевий протокол, що входить в стек протоколів TCP / IP. В основному ICMP використовується для передачі повідомлень про помилки і в інших виняткових ситуаціях, що виникли при передачі даних. Також на ICMP покладаються деякі сервісні функції ».
За допомогою ICMP здійснюється перевірка доступності ботів в зараженій мережі та їх ідентифікація. Оскільки бот Mayday орієнтований на роботу в Windows XP SP2, після запуску він змінює правила мережевого екрану Windows, так щоб отримання ICMP-пакетів було дозволено.
Другий основною особливістю Mayday-ботнету є його центр управління.
Для роботи центрів управління веб-орієнтованих ботнетів використовується механізм, відомий як CGI (Common Gateway Interface). Спочатку технологією веб-серверів була передбачена можливість використання виконуваних файлів в якості реалізації CGI, пізніше з'явилися різні скрипт-движки. CGI-додаток генерує в реальному часі контент запитуваної користувачем веб-сторінки, забезпечуючи виконання програми і виведення результатів її роботи замість статичних даних з сервера. CGI-скрипт працює за аналогічною схемою, але для виведення результатів своєї роботи йому потрібно інтерпретатор - скрипт-движок. Як правило, командні центри веб-орієнтованих ботнетів розробляються зловмисниками з використанням скрипт-движків.
Серверне Mayday являє собою цільний (без модулів) 1,2-мегабайтний виконуваний ELF-файл (Linux-аналог виконуваних EXE-файлів Microsoft Windows), що не вимагає наявності скрипт-движка в системі.
Розробка CGI-додатки на пару порядків складніше розробки CGI-скрипта, оскільки вимагає особливих зусиль для реалізації стабільного та надійного коду. В даний час 99% веб-розробок ведеться на основі скрипт-движків, а монолітні виконувані CGI-програми створюються лише у випадку жорсткої необхідності оптимізувати все до дрібниць. Як правило, такий підхід використовується великими корпораціями при розробці проектів, які повинні працювати в умовах величезних навантажень. Монолітні виконувані CGI-програми використовуються, наприклад, в таких веб-системах, як e-Bay, Paypal, Yahoo та ін. Однією з можливих причин створення безмодульного виконуваного файлу в разі ботнету Mayday могло бути бажання розробників ускладнити «чужинцям» завдання редагування, перенастроювання і перепродажу центру управління. У будь-якому випадку аналіз структури серверного ПО Mayday дає підставу припускати, що така серйозна розробка (код акуратно причесаний, створена система класів універсальна) вимагає добре організованої команди розробників. Більше того, для створення ПЗ Mayday-ботнету зловмисникам, швидше за все, довелося вести роботу над двома різними проектами: розробкою програм для Windows і для Linux.
Ботнет-бізнес
Відповідь на питання, чому ботнети продовжують розвиватися і стають все більш актуальною проблемою, можна отримати, оцінивши нинішній стан ринку ботнетів. Сьогодні кіберзлочинцям, які хочуть побудувати ботнет, не потрібні ні спеціальні знання, ні великі грошові суми. Підпільна ботнет-індустрія за подібною ціною надає бажаючим обзавестися ботнетом все необхідне: ПЗ, готові мережі й послуги за анонімним хостингу.
Перше, що необхідно для побудови ботнету, - це сам бот, програма, що дозволяє віддалено виконувати на комп'ютері користувача деякі дії без відома користувача. ПЗ для створення ботнету можна легко купити в Мережі, знайшовши відповідне оголошення і звернувшись до того, хто його розмістив.
Ціни на боти варіюються від $ 5 до $ 1000, залежно від того, наскільки поширений бот, детектується він антивірусом, які команди підтримує і т.д.
Для побудови найпростішого веб-орієнтованого ботнету необхідно мати хостінговую майданчик, де можна розмістити центр управління. Будь-який бажаючий може купити такий майданчик - разом з послугами служби підтримки і можливістю анонімної роботи з сервером (хостер, як правило, гарантує недоступність файлів журналу для кого-небудь, у тому числі для «компетентних» органів). Оголошень, подібних наведеному нижче, на форумах в Інтернеті досить багато.
Коли майданчик CC побудована, необхідні заражені ботом машини. Бажаючі можуть купити вже готову мережу з «чужим» встановленим ботом. Оскільки випадки крадіжки ботнетів в середовищі зловмисників не рідкість, покупці, як правило, воліють замінити на власні і шкідливу програму, і центр управління, отримавши гарантований контроль над зомбі-мережею. Для цього боту в купленій мережі дають команду завантажити і запустити новий бот (з новою адресою CC) і самоудаліться. Тим самим «чужа» програма-бот замінюється на «свою», і ботнет починає взаємодіяти з новим центром управління. Така «перезавантаження» ботнетів є зайвою і з точки зору їх захищеності та анонімності: «старий» CC і «старий» бот ще до продажу цілком можуть потрапити в поле зору фахівців з комп'ютерної безпеки. Побудувати власний ботнет також не складає особливих труднощів: для цього є спеціальні засоби. Найпопулярніші з них - програмні пакети, відомі як MPack, IcePack і WebAttacker. Вони дозволяють заражати комп'ютерні системи відвідувачів шкідливої веб-сторінки, використовуючи уразливості в програмному забезпеченні браузерів або в плагінах до них. Такі програмні пакети називаються веб-системами масового зараження або просто ExploitPack. Після спрацьовування експлойта браузер покірно завантажує з Мережі на комп'ютер користувача виконуваний файл і запускає його. Таким файлом якраз і є програма-бот, яка підключає новий зомбі-комп'ютер в ботнет і передає управління ним зловмисникові.
Ці кошти настільки доступні, що навіть підлітки з легкістю їх знаходять і намагаються заробити на перепродажу.
ExploitPack спочатку були розроблені російськими хакерами, проте знайшли своїх клієнтів і в інших країнах. Ці шкідливі програми були локалізовані (що свідчить про їх комерційному успіху на чорному ринку) і тепер активно використовуються, наприклад, в Китаї.
Будь-яка система тим популярнішим і тим успішніше на кіберкрімінальном ринку, чим простіше її використовувати. Це розуміють і розробники таких систем, тому для підвищення популярності своїх дітищ і відповідно збільшення попиту на них розробляють прості механізми установки і конфігурації систем - будь то система для CC або просто ExploitPack.
Так, наприклад, установка командного центру, як правило, складається з копіювання файлів на сторону веб-сервера та обігу за допомогою браузера до скрипта install.php. Значно полегшує завдання наявність веб-інтерфейсу інсталятора: кіберзлочинцям досить правильно заповнити поля веб-форми, щоб командний центр був правильно налаштований і почав працювати.
У кіберкрімінальном світі добре відомо, що рано чи пізно антивіруси почнуть детектувати програму-бота. Як наслідок, ті заражені машини, на яких стоїть антивірус, для зловмисників будуть втрачені, а швидкість зараження нових комп'ютерів значно знизиться. Є кілька способів, за допомогою яких господарі ботнетів намагаються зберегти свої мережі. Найбільш ефективний - захист шкідливої програми від детектування за допомогою спеціальної обробки виконуваного коду: кіберкрімінальний ринок пропонує широкий вибір послуг з його шифрування, пакування та обфускаціі.
Таким чином, все, що необхідно для успішного існування і розвитку ботнетів, є в Інтернеті, і зупинити розвиток ботнет-індустрії поки що неможливо.
Висновок
На сьогоднішній день ботнети є одним з основних джерел нелегального заробітку в Інтернеті і грізною зброєю в руках зловмисників. Очікувати, що кіберзлочинці відмовляться від настільки ефективного інструменту, не доводиться, і експерти з безпеки з тривогою дивляться в майбутнє, очікуючи подальшого розвитку ботнет-технологій.
Небезпека ботнетів посилюється тим, що їх створення і використання стає все більш простим завданням, з якою в найближчому майбутньому будуть в змозі впоратися навіть школярі. А ціни на розвиненому і структурованому ботнет-ринку досить помірні.
У побудові інтернаціональних ботнетів можуть бути зацікавлені не тільки кіберзлочинці, а й держави, готові використовувати зомбі-мережі як інструмент політичного тиску. Крім того, можливість анонімно управляти зараженими машинами незалежно від їх географічного знаходження дозволяє провокувати конфлікти між державами: достатньо організувати кібератаку на сервери однієї країни з комп'ютерів інший. Мережі, що об'єднують ресурси десятків, сотень тисяч, а часом і мільйонів заражених машин, мають дуже небезпечним потенціалом, який поки не використовувався в повному обсязі. Тим часом, вся ця грізна кібермощь спирається на інфіковані комп'ютери домашніх користувачів. Саме вони складають переважну більшість зомбі-машин, і саме їх зловмисники використовують у своїх цілях. Джерело інформації: |