Сегодня ботнеты стали одним из главных инструментов киберпреступников. ComputerBild расскажет, что такое ботнеты, как они работают и как спасти свой компьютер от попадания в зомби-сеть.

Ботнет, или зомби-сеть, - это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять чужими машинами без ведома их владельцев. В последние годы зомби-сети стали стабильным источником дохода для киберпреступников. Неизменно низкие издержки и минимум знаний, необходимых для управления ботнетами, способствуют росту популярности, а значит, и количества ботнетов. На DDoS-атаках или спам-рассылках, осуществляемых с помощью зомби-сетей, злоумышленники и их заказчики зарабатывают тысячи долларов.

Заражен ли мой компьютер ботом?

Ответить на этот вопрос непросто. Дело в том, что отследить вмешательство ботов в повседневную работу ПК практически невозможно, поскольку оно никак не отражается на быстродействии системы. Тем не менее существует несколько признаков, по которым можно определить, что в системе присутствует бот:

Неизвестные программы пытаются осуществить соединение с Интернетом, о чем периодически возмущенно докладывает брандмауэр или антивирусное ПО;

Интернет-трафик становится очень велик, хотя вы пользуетесь Сетью весьма умеренно;

В списке запущенных системных процессов появляются новые, маскирующиеся под обычные процессы Windows (к примеру, бот может носить имя scvhost.exe - это название очень похоже на название системного процесса Windows svchost.exe; заметить разницу довольно сложно, но - можно).

Зачем создаются ботнеты

Ботнеты создаются, чтобы зарабатывать деньги. Можно выделить несколько сфер коммерчески выгодного применения зомби-сетей: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка клик-счетчиков и пр. Надо заметить, что прибыльным будет любое направление, какое бы злоумышленник ни выбрал, причем ботнет позволяет осуществлять все перечисленные виды деятельности одновременно.

DDoS-атака (от англ. Distributed Denial-of-Service) - это атака на компьютерную систему, например на веб-сайт, целью которой является доведение системы до «падения», то есть состояния, когда она больше не сможет принимать и обрабатывать запросы легитимных пользователей. Один из самых распространенных методов проведения DDoS-атаки - отправка многочисленных запросов на компьютер или сайт-жертву, что и приводит к отказу в обслуживании, если ресурсы атакуемого компьютера недостаточны для обработки всех поступающих запросов. DDoS-атаки являются грозным оружием хакеров, а ботнет - идеальным инструментом для их проведения.

DDoS-атаки могут быть как средством недобросовестной конкурентной борьбы, так и актами кибертерроризма. Хозяин ботнета может оказать услугу любому не слишком щепетильному предпринимателю - провести DDoS-атаку на сайт его конкурента. Атакуемый ресурс после такой нагрузки «ляжет», заказчик атаки получит временное преимущество, а киберпреступник - скромное (или не очень) вознаграждение.

Таким же образом сами владельцы ботнетов могут использовать DDoS-атаки для вымогания денег у крупных компаний. При этом компании предпочитают выполнять требования киберпреступников, поскольку ликвидация последствий удачных DDoS-атак стоит весьма дорого. Например, в январе 2009 года один из крупнейших хостеров GoDaddy.com подвергся DDoS-атаке, в результате которой тысячи сайтов, размещенных на его серверах, оказались недоступными почти на сутки. Финансовые потери хостера были огромны.

В феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всего Интернета. Маловероятно, что целью этих атак было обрушение Всемирной сети, ведь существование зомби-сетей возможно только при условии, что существует и нормально функционирует Интернет. Больше всего это было похоже на демонстрацию силы и возможностей зомби-сетей.

Реклама услуг по осуществлению DDoS-атак открыто размещена на многих форумах соответствующей тематики. Цены на атаки колеблются от 50 до нескольких тысяч долларов за сутки непрерывной работы DDoS-ботнета. По данным сайта www.shadowserver.org, за 2008 год было проведено порядка 190 тысяч DDoS-атак, на которых киберпреступники смогли заработать около 20 миллионов долларов. Естественно, в эту сумму не включены доходы от шантажа, которые просто невозможно подсчитать.

Сбор конфиденциальной информации

Конфиденциальная информация, которая хранится на компьютерах пользователей, всегда будет привлекать злоумышленников. Наибольший интерес представляют номера кредитных карт, финансовая информация и пароли к различным службам: почтовым ящикам, FTP-серверам, «мессенджерам» и др. При этом современные вредоносные программы позволяют злоумышленникам выбирать именно те данные, которые им интересны, - для этого достаточно загрузить на ПК соответствующий модуль.

Злоумышленники могут либо продать украденную информацию, либо использовать ее в своих интересах. На многочисленных форумах в Сети каждый день появляются сотни объявлений о продаже банковских учетных записей. Стоимость учетной записи зависит от количества денег на счету пользователя и составляет от 1 до 1500 долларов за счет. Нижняя граница свидетельствует о том, что в ходе конкурентной борьбы киберпреступники, занимающиеся такого рода бизнесом, вынуждены снижать цены. Чтобы заработать действительно много, им необходим стабильный приток свежих данных, а для этого обязателен стабильный рост зомби-сетей. Особенно интересна финансовая информация кардерам - злоумышленникам, занимающимся подделкой банковских карт.

О том, насколько выгодны такие операции, можно судить по известной истории с группой бразильских киберпреступников, которые были арестованы два года назад. Они смогли снять с банковских счетов простых пользователей 4,74 миллиона долларов, используя украденную с компьютеров информацию. В приобретении персональных данных, не имеющих прямого отношения к деньгам пользователя, заинтересованы и преступники, которые занимаются подделкой документов, открытием фальшивых банковских счетов, совершением незаконных сделок и т.д.

Еще одним видом собираемой ботнетами информации являются адреса электронной почты, причем, в отличие от номеров кредиток и учетных записей, из адресной книги одного зараженного ПК можно извлечь множество электронных адресов. Собранные адреса выставляются на продажу, причем иногда «на развес» - помегабайтно. Основными покупателями подобного «товара» являются спамеры. Список из миллиона e-mail-адресов стоит от 20 до 100 долларов, а заказанная спамерам рассылка на этот же миллион адресов - 150-200 долларов. Выгода очевидна.

Преступникам также интересны учетные записи различных платных сервисов и интернет-магазинов. Безусловно, они обходятся дешевле банковских учетных записей, но их реализация связана с меньшим риском преследования со стороны правоохранительных органов.

Ежедневно по всему миру курсируют миллионы спам-сообщений. Рассылка незапрошенной почты является одной из основных функций современных ботнетов. По данным «Лаборатории Касперского», около 80% всего спама рассылается через зомби-сети. С компьютеров законопослушных пользователей отправляются миллиарды писем с рекламой «Виагры», копий дорогих часов, онлайн-казино и т. п., забивающих каналы связи и почтовые ящики. Таким образом хакеры ставят под удар компьютеры ни в чем не повинных пользователей: адреса, с которых ведется рассылка, попадают в черные списки антивирусных компаний.

В последние годы сама сфера спам-услуг расширилась: появился ICQ-спам, спам в социальных сетях, форумах, блогах. И это тоже «заслуга» владельцев ботнетов: ведь совсем несложно дописать к бот-клиенту дополнительный модуль, открывающий горизонты для нового бизнеса со слоганами типа «Спам в Facebook. Недорого». Цены на спам варьируются в зависимости от целевой аудитории и количества адресов, на которые ведется рассылка. Разброс цен на целевые рассылки - от 70 долларов за сотни тысяч адресов до 1000 долларов за несколько десятков миллионов адресов. За прошедший год спамеры заработали на рассылке писем порядка 780 миллионов долларов.

Создание поискового спама

Еще один вариант использования ботнетов - повышение популярности сайтов в поисковых системах. Работая над поисковой оптимизацией, администраторы ресурсов стараются повысить позицию сайта в результатах поиска, поскольку чем она выше, тем больше посетителей зайдет на сайт через поисковые системы и, следовательно, тем больше будет выручка владельца сайта, например от продажи рекламных площадей на веб-страницах. Многие компании платят веб-мастерам немалые деньги, чтобы они вывели сайт на первые позиции в «поисковиках». Владельцы ботнетов подсмотрели некоторые их приемы и автоматизировали процесс поисковой оптимизации.

Когда вы видите в комментариях к своей записи в «Живом Журнале» или удачной фотографии, выложенной на фотохостинге, множество ссылок, созданных неизвестным вам человеком, а иногда и вашим «френдом», - не удивляйтесь: просто кто-то заказал раскрутку своего ресурса хозяевам ботнета. Специально созданная программа загружается на зомби-компьютер и от имени его владельца оставляет на популярных ресурсах комментарии со ссылками на раскручиваемый сайт. Средняя цена на нелегальные услуги поискового спама - порядка 300 долларов в месяц.

Сколько стоят персональные данные

Стоимость украденных персональных данных напрямую зависит от страны, в которой живет их законный владелец. Например, полные данные жителя США стоят 5-8 долларов. На черном рынке особенно ценятся данные жителей Евросоюза - они в два-три раза дороже данных граждан США и Канады. Это можно объяснить тем, что такими данными преступники могут пользоваться в любой стране, входящей в ЕС. В среднем по миру цена полного пакета данных об одном человеке составляет порядка $7.

К сожалению, тому, кто решил «с нуля» организовать ботнет, не составит особого труда найти в Интернете инструкцию по созданию зомби-сети. Первый шаг: создать новую зомби-сеть. Для этого нужно заразить компьютеры пользователей специальной программой - ботом. Для заражения используются спам-рассылки, постинг сообщений на форумах и в социальных сетях и другие приемы; часто бот наделяется функцией самораспространения, как вирусы или черви.

Чтобы заставить потенциальную жертву установить бот, используют приемы социальной инженерии. Например, предлагают посмотреть интересное видео, для чего требуется скачать специальный кодек. После загрузки и запуска такого файла пользователь, конечно, не сможет посмотреть никакого видео и скорее всего не заметит вообще никаких изменений, а его ПК окажется заражен и станет покорным слугой, выполняющим все команды хозяина ботнета.

Вторым широко используемым методом заражения ботами является drive-by-загрузка. При посещении пользователем зараженной веб-страницы на его компьютер через различные «дыры» в приложениях - прежде всего в популярных браузерах - загружается вредоносный код. Для эксплуатации слабых мест используются специальные программы - эксплойты. Они позволяют не только незаметно загрузить, но и незаметно запустить вирус или бот. Такой вид распространения вредоносного ПО наиболее опасен, ведь, если взломан популярный ресурс, заразятся десятки тысяч пользователей!

Бот можно наделить функцией самораспространения по компьютерным сетям. Например, он может распространяться путем заражения всех доступных исполняемых файлов или путем поиска и заражения уязвимых компьютеров сети.

Зараженные компьютеры ничего не подозревающих пользователей создатель ботнета может контролировать с помощью командного центра ботнета, связываясь с ботами через IRC-канал, веб-соединение или с помощью любых других доступных средств. Достаточно объединить в сеть несколько десятков машин, чтобы ботнет начал приносить своему хозяину доход. Причем этот доход находится в линейной зависимости от устойчивости зомби-сети и темпов ее роста.

Рекламные компании, работающие онлайн по схеме PPC (Pay-per-Click), платят деньги за уникальные клики по ссылкам на размещенных в Интернете объявлениях. Для владельцев ботнета обман таких компаний является прибыльным занятием. Для примера можно взять известную сеть Google AdSense. Входящие в нее рекламодатели платят Google за клики по размещенным объявлениям в надежде, что заглянувший «на огонек» пользователь что-нибудь у них купит.

Google в свою очередь размещает контекстную рекламу на различных сайтах, участвующих в программе AdSense, платя владельцу сайта процент с каждого клика. Увы, не все владельцы сайтов честные. Имея зомби-сеть, хакер может генерировать тысячи уникальных кликов в день - по одному с каждой машины, чтобы не вызывать особых подозрений у Google. Таким образом, деньги, потраченные на рекламную компанию, перетекут в карман к хакеру. К сожалению, не было еще ни одного случая, когда за подобные акции кого-либо привлекали к ответственности. По данным компании Click Forensics, в 2008 году порядка 16-17% всех переходов по рекламным ссылкам были поддельными, из них минимум треть генерировалась ботнетами. Выполнив несложные вычисления, можно понять, что в прошлом году владельцы ботнетов «накликали» 33 000 000 долларов. Неплохой доход от щелчков мышью!

Злоумышленникам и нечистым на руку бизнесменам совсем не обязательно своими силами создавать ботнет «с нуля». Ботнеты самых разных размеров и производительности они могут купить или арендовать у хакеров - например, обратившись на специализированные форумы.

Стоимость готового ботнета, равно как и стоимость его аренды, напрямую зависит от количества входящих в него компьютеров. Наибольшей популярностью готовые ботнеты пользуются на англоязычных форумах.

Маленькие ботнеты, состоящие из нескольких сотен ботов, стоят от 200 до 700 долларов. При этом средняя цена одного бота составляет примерно 50 центов. Более крупные ботнеты стоят больших денег.

Зомби-сеть Shadow, которая была создана несколько лет назад 19-летним хакером из Голландии, насчитывала более 100 тысяч компьютеров, расположенных по всему миру, продавалась за 25 000 евро. За эти деньги можно купить небольшой домик в Испании, однако преступник из Бразилии предпочел приобрести ботнет.

Средства защиты от ботнетов

1. В первую очередь это анитивирусные программы и комплексные пакеты для защиты от интернет-угроз с регулярно обновляемыми базами. Они помогут не только вовремя обнаружить опасность, но и ликвидировать ее до того, как ваш превращенный в зомби верный «железный друг» начнет рассылать спам или «ронять» сайты. Комплексные пакеты, например Kaspersky Internet Security 2009, содержат полный комплект защитных функций, управлять которыми можно через общий командный центр.

Антивирусный модуль в фоновом режиме выполняет сканирование важнейших системных областей и контролирует все возможные пути вторжения вирусов: вложения электронной почты и потенциально опасные веб-сайты.

Брандмауэр следит за обменом данными между персональным компьютером и Интернетом. Он проверяет все пакеты данных, получаемые из Сети или отправляемые туда, и при необходимости блокирует сетевые атаки и препятствует тайной отправке личных данных в Интернет.

Спам-фильтр защищает почтовый ящик от проникновения рекламных сообщений. В его задачи также входит выявление фишинговых писем, с помощью которых злоумышленники пытаются выудить у пользователя информацию о его данных для входа в онлайновые платежные или банковские системы.

2. Регулярное обновление операционной системы, веб-браузеров и других приложений, разработчики которых обнаруживают и ликвидируют многие бреши в их защите, а также слабые места, используемые злоумышленниками.

3. Специальные программы-шифровальщики защитят ваши персональные данные, даже если бот уже проник на компьютер, ведь для доступа к ним ему придется взломать пароль.

4. Здравый смысл и осторожность. Если вы хотите оградить свои данные от разного рода угроз, не стоит скачивать и устанавливать программы неизвестного происхождения, открывать архивы с файлами вопреки предупреждениям антивируса, заходить на сайты, которые браузер помечает как опасные, и т.д.

Благодарим «Лабораторию Касперского» за помощь в подготовке материала

Одна из заповедей безопасности, как мы уже упоминали, - это быть чуткими к возможной попытке захвата контроля над компьютером.

О ботнетах говорят, когда компьютеры рядовых пользователей попадают под управление серверов C&C (command and control), которые собирают данные и, как правило, отправляют команды на компьютеры-зомби. Не всегда, однако, такой сервер необходим. В случае P2P-ботнета используется взаимная связь между компьютерами-зомби.

Наиболее частые симптомы заражения компьютера

Первый шаг, который мы должны сделать, это убедиться, что наш компьютер проявляет признаки, характерные для машин-зомби.

Сюда относятся:

• внезапное, ничем необъяснимое замедление работы компьютера , повторяющееся поведение;
• чрезмерная активность дисков и сетевого соединения;
• внезапное изменение поведения известных сайтов;
• постоянно появляющиеся всплывающие окна, независимо от того, какой сайт мы просматриваем;
• усиленная активность пакета защиты - в том числе сигналы о странных соединениях;
• сообщения о недоставленных сообщениях электронной почты, а также уведомления от друзей, что мы посылаем им спам;
• проблемы с запуском компьютера, частые зависания компьютера, сообщения об ошибках;
• дополнительные программные расширения браузера и файлы, появляющиеся и исчезающие с диска;
• неизвестные нам программы, которые появляются в диспетчере задач, а также расширения браузера , которые вы не устанавливали.

Описанные выше симптомы указывают на повышенный риск, но это ещё не означает, что наш компьютер заражен.

Причиной определенного поведения может быть плохая оптимизация системы . Это также может быть эффект вредоносных инфекций, которые, однако, не имеют связи с превращением нашего компьютера в машину-зомби.

Первая линия обороны - антивирус

Превращение компьютера в «зомби» связано с инфицированием вредоносной программой. Поэтому сначала просканируйте компьютер антивирусом. Он должен быть обновлен, а сканирование должно охватить весь компьютер, а не только системные файлы и профиль пользователя.

Сканирование компьютера с помощью антивирусной системы - это половина успеха. Часть вредоносных программ, ответственных за превращение компьютера в зомби, может быть скрыта с помощью руткитов.

Чтобы выявить наличие такого программного обеспечения, вы должны проверить ваш компьютер с помощью опции «Сканирование на руткиты».

Вторая линия защиты - брандмауэр

Брандмауэр используется не только для защиты от вторжений. Его можно использовать для блокировки интернет-трафика по нашему усмотрению.

В первую очередь, когда мы думаем, что наш компьютер зомбирован, но антивирус ничего не обнаружил, стоит уделить немного времени на анализ его поведения. Уровень защиты в Брандмауэре следует установить на максимум, а также включить Интерактивный режим , чтобы любые попытки соединения были выявлены.

Затем мы ищем активность, которая не связана с функционированием какого-либо системного приложения или программного обеспечения, которые мы сами установили. Иногда инфекция может также распространяться и на системные файлы, а схема идентификации будет очень сложной, поэтому стоит проконсультироваться со специалистами в случае каких-либо сомнений.

Сетевая активность также контролируется и записывается в логи, которые можно потом спокойно просмотреть. По мере того, как мы будем исключать неправильно работающие процессы, комфорт использования компьютера вернется к исходному состоянию.

Нагрузка на компьютер - вы можете этого не заметить

Современные компьютеры являются очень эффективными, потому существует риск, что Вы даже не заметите чрезмерной нагрузки на компьютер. Поэтому необходимо для уверенности проверять наш компьютер с помощью следующих инструментов:

• Системный Диспетчер задач - в последних версиях Windows он позволяет контролировать запущенные приложения, а также предоставляет данные об использовании ресурсов компьютера.

После запуска Диспетчера мы можем:

• просмотреть все активные процессы и выявить вызывающее их программное обеспечение;
• проверить нагрузку на доступ в Интернет через любое приложение;
• просмотреть список сервисов , особенно активно работающих, которые не связаны с операционной системой или программным обеспечением;
• проверить использование ресурсов , в частности процессора, памяти.

Более подробная информация по использованию ресурсов, включая точную спецификацию активных сетевых подключений, отображается в Мониторе ресурсов Windows . Его можно открыть, нажав на «Открыть монитор ресурсов» на вкладке «Быстродействие» в Диспетчере задач.

Также стоит обратить внимание на следующие программы:

• Sysinternals Suite - это популярный пакет приложений для мониторинга системы может заменить системные утилиты, а благодаря удобному интерфейсу и расшифровке необходимой информации будет намного проще. В этом пакете Вы найдете:
  • TCPView - показывает список всех активных соединений вместе с адресами целевых компьютеров, позволяет идентифицировать их владельца (инструмент Whois);
  • Process Explorer - расширенная версия списка процессов Диспетчера задач, группирует задачи по приложениям, что позволяет оценить взаимозависимости между программным обеспечением;
  • ProcMon - контролирует всю активность жесткого диска, реестра и программного обеспечения, позволяет вести логи для последующего анализа.

Совместными силами частных компаний и правительственных организаций - ему на смену приходит следующий, более продвинутый и изощренный. Как и в дикой природе - среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.

Kaspersky Lab проанализировала деятельность одного из самых интересных ботнетов, активно функционирующих в настоящее время - т.н. Alureon, построенного на базе руткита TDL-4 (о котором на Хабре недавно писала в своем блоге компания Eset). А посмотреть здесь, действительно, есть на что - ведь архитектура ботнета и лежащей в его основе технологии была моментально охарактеризована различными Интернет-изданиями, как «неразрушимая». 4,5 миллиона зараженных машин тоже дают намек на силу используемой архитектуры.

Собственно, TDL-4 был изначально спроектирован с целью избежать уничтожения или удаления - силами закона, антивирусной программы или конкурирующими ботнетами. При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО, для того чтобы пользователь машины не заметил странного поведения машины и не попытался восстановить ее нормальную работу. Цель ясна как белый день - руткит старается оставаться незаметным, ведь в большинстве ситуаций именно пользователь, а не программа, замечает изменения в работе компьютера (резкие «выбросы» пакетов с данными, снижение производительности и т.д.).

Для того, чтобы мимикрия была максимально эффективной, руткит (а точнее - буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей. TDL-4 так же шифрует сетевой траффик с помощью SSL для того чтобы избежать обнаружения другими программами, как полезными, так и вредоносными.

Наиболее примечательной особенностью Alureon"а является использование децентрализованной P2P-сети Kad (используемой, например, eMule) для сообщения между нодами. С ее помощью ботнет создает собственную сеть зараженных машин, позволяя им обмениваться траффиком без задействования центральных серверов, а так же находит новые компьютеры для расширения сети.

Сделано это как раз в целях повышения устойчивости сети. Ведь все предыдущие атаки на ботнеты были совершены с помощью правительственных организаций, отключающих командно-контрольные центры от работы, найденных, как это произошло в ситуации с Rustock, с помощью Microsoft, определившей местонахождение центральных узлов. Как правило, таких серверов обычно бывает не очень много - несколько десятков, но именно через них осуществляется управление спамом, DDOS-атаками и т.д. и они же представляют собой наибольшую уязвимость любого ботнета.

Alureon выделяется на фоне конкурентов, во-первых тем, что использует около 60 таких центров, а во-вторых, ему совершенно не обязательно их незыблемое существование - владелец ботнета можешь контролировать всю сеть даже в том случае, если зараженные машины не могут «достучаться» до серверов, так как она построена по принципу peer-to-peer. Шифрование позволяет спрятать их, а использование децентрализованной сети - менять местоположение центральной ноды.

Конечно, руткиты и раньше использовали для построения ботнетов P2P-сети, но в очень редких и исключительных ситуациях их размер был подобен тому, до какого разросся Alureon. Это дает ему не только гибкость в коммуникации внутри сети, но так же высокую устойчивость к разрушению. Поэтому техники, применяемые против других ботнетов, могут не иметь эффекта против этого индивидуума.

Вредоносное ПО, само по себе, распространяется в первую очередь через файлообменные и порнографические сайты. Недавно был найден и еще один способ заражения компьютеров с помощью создания DHCP сервера, заставляющего компьютеры использовать вредоносный DNS-сервер, направляющий пользователей сети на страницы, содержащие руткит. Еще одна примечательная особенность кода TDL-4 (известного как TDSS) - это «отравление» результатов выдачи поисковых движков с помощью создания дополнительных proxy-серверов, загружающих программу на компьютер.

Вдобавок к классическим услугам вроде спама и выполнения DDOS-атак, операторы этого ботнета предлагают эксклюзивную возможность использования любого компьютера в сети в качестве proxy-сервера, анонимизирующего Интернет-траффик. Всего за $100 в месяц вам даже предоставят специальный плагин к Firefox для того чтобы было проще использовать такую систему анонимны-прокси.

Уничтожение такого ботнета будет непростой задачей - его исследователи уже говорят о специальным образом сконструированных запросах к серверам для получения статистики о числе зараженных компьютеров - специалисты Kaspersky нашли несколько баз данных, расположенных в Молдове, Литве и США, содержащих прокси-сервера на основе которых функционирует ботнет.

Так же в комментариях к труду говорится о том, что в корпоративной сети (использующей http\https proxy) инфицированные машины могут быть найдены с помощью логов DNS-сервера - сигналом может служить DNS-запрос от машины к прокси-серверу (обычно DNS-запросы приходят от прокси-сервера).

Сетевые вирусы (черви) - самый опасный вид компьютерных вредоносных ПО, главный принцип работы которых заключается в возможности самостоятельной передачи своего кода на рабочую станцию либо удаленный сервер. Сетевые вирусы распространяются и размножаются через различные сети (как глобальные, так и локальные). Попадая на ПК через Интернет , они могут повредить не только важную информацию, содержащуюся на компьютере, но и целую систему. Иногда сетевые вирусы поражают файлы нескольких операционных систем.

Причиной внедрения червя в систему могут быть дыры в системе безопасности Windows, уязвимость протоколов прикладных программ, недостаточно надежные пароли, человеческий фактор и многое другое.

Виды сетевых вирусов:

1. Резидентные черви , которые располагаются исключительно в оперативной памяти и не имеют доступа к жестким дискам, поэтому заражают только работающую программу. Как правило, они содержат «инфекционную часть» - шелл-код и тело червя , полностью находящегося в ОЗУ, поэтому могут заражать только ранее загруженные другими программами динамические библиотеки. Резидентные вирусы активны даже после завершения работы зараженной программы, а их копии действуют даже после перезагрузки компьютера и удаления инфицированных файлов. Чтобы удалить сетевой вирус такого типа, недостаточно восстановить копии файлов с диска с дистрибутивами, произвести резервное копирование или форматирование диска. Для этого используются специальные утилиты.

2. Нерезидентные черви проявляют активность только при запуске программы-носителя. Они распространяются, записываясь на те файлы, которые еще не заражены. После того, как право управления получает инфицированная программа, вирус не может воздействовать на функционирование операционной системы до следующего запуска зараженной программы . Таким образом, данные, зараженные нерезидентными сетевыми вирусами, удалить гораздо проще.

Самая надежная защита от сетевых вирусов - установка надежного антивируса .

В случае проникновения червя не стоит пытаться устранить его самостоятельно, если вы не обладаете необходимыми знаниями, поскольку это может нанести существенный вред операционной системе. Наши специалисты знают, как удалить сетевой вирус и готовы предоставить свои

В этой статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов.

Ботнеты существуют уже около 10 лет, и приблизительно столько же эксперты предупреждают о той опасности, которую они представляют. Тем не менее, проблема ботнетов по-прежнему остается недооцененной, и многие пользователи (до тех пор пока им не отключат Интернет, пока они не обнаружат исчезновение денег с кредитных карт или у них не украдут почтовый ящик или аккаунт IM) плохо понимают, в чем состоит реальная угроза зомби-сетей.

Что такое ботнет

Итак, прежде всего, давайте разберемся, что такое ботнет или зомби-сеть.

Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами .

Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.

Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.

В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.

Использование ботнетов

Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.

Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.

Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.

Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.

Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.

Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.

DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.

Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления – например, взламывать веб-сайты или переводить украденные денежные средства.

Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.

Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.

Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.

Команды для ботов

Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же.

Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.

Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.

Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).

Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.

Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.

Типы ботнетов

Классификация ботнетов сегодня достаточна проста. Она основывается на архитектуре ботнетов и протоколах, используемых для управления ботами.

Классификация ботнетов. Архитектура

До сих пор были известны лишь два типа архитектуры ботнетов.

1. Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.

1. Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
2. Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.

Рис. 2 Децентрализованная топология (P2P)

На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.

Классификация ботнетов. Используемые сетевые протоколы

Для передачи боту команд хозяина ботнета необходимо, как минимум, установить сетевое соединение между зомби-компьютером и компьютером, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Поэтому существует классификация ботнетов, основанная на используемом протоколе общения.

По типу используемых сетевых протоколов ботнеты делятся на следующие группы.

1. IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.
2. IM-oriented IM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена сложностями, возникающими при создании отдельного аккаунта IM-службы для каждого бота. Дело в том, что боты должны выходить в Сеть и постоянно присутствовать онлайн. Поскольку большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети. Конечно, боты могут использовать один и тот же аккаунт, выходить в онлайн один раз в определенный промежуток времени, отсылать данные на номер хозяина и в течение короткого промежутка времени ожидать ответа, но это все весьма проблематично: такая сеть реагирует на команды очень медленно.
3. Веб-ориентированные. Относительно новая и быстро развивающаяся ветвь ботнетов, ориентированная на управление через www. Бот соединяется с определенным веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.
4. Другие. Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.

Эволюция ботнетов

История ботнетов началась в 1998-1999 годах, когда появились первые программы поведения Backdoor – небезызвестные NetBus и BackOrifice2000. Это были концепты, т.е. программы, в которых реализованы принципиально новые технологические решения. NetBus и BackOrifice2000 впервые несли полный набор функций удаленного управления зараженным компьютером, что позволяло злоумышленникам работать с файлами на удаленном компьютере, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т.д.

Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях на основе стека протоколов TCP/IP и, по сути, являлись демонстрацией вариантов использования Windows API для удаленного управления компьютером.

Клиентские программы для удаленного управления компьютерами уже в начале 2000-х могли одновременно управлять сразу несколькими машинами. Однако, в отличие от современных бэкдоров, программы NetBus и BackOrifice2000 выступали в роли сетевого сервера: они открывали определенный порт и пассивно ждали подключений хозяина (Backdoor’ы, используемые для построения ботнетов сегодня, устанавливают соединения сами).

Затем кто-то из злоумышленников придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на связь и их всегда можно было видеть онлайн (при условии, что они включены и работают). Скорее всего, этот «кто-то» был хакером, потому что боты нового поколения использовали традиционный для хакеров канал связи – IRC (Internet Relay Chat). Вероятно, разработку новых ботов сильно упростило то, что в самой системе IRC изначально функционировали боты с открытым исходным кодом, но не направленные на удаленное управление системой, а с другим функционалом (эти программы отвечали на запросы пользователей, например, выдавали информацию о погоде или о времени последнего появления определенного пользователя в чате).

Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем зараженным компьютерам или отправить отдельное сообщение одной машине. Это был первый механизм реализации ботнета с централизованным управлением, позже названный C&C (Command & Control Centre).

Разработка таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна специализированная клиентская программа. Достаточно иметь универсальный сетевой клиент, такой как приложение Netcat или Telnet.

О появлении IRC-ботнетов стало известно довольно быстро. Как только о них появились публикации в хакерских журналах, появились «угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный единоличный контроль над «чужой» сетью зараженных машин.

Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на таких популярных скрипт-движках, как Perl и PHP, в редких случаях – ASP, JSP и нескольких других. Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. Схема удаленного управления компьютером в локальной сети в обход таких средств защиты, как прокси и NAT, была опубликована в Интернете и быстро стала популярной в определенных кругах. Удаленное управление было основано на установлении HTTP-соединения с управляющим сервером с использованием локальных настроек компьютера. Если пользователь устанавливал в настройках системы адрес, порт, логин и пароль для прокси-сервера, автоматически активизировался механизм авторизации библиотеки функций для поддержки протокола HTTP (Wininet.dll). С точки зрения программиста, это было простым и доступным решением.

Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт управления небольшой сетью компьютеров, а злоумышленники нашли способ использовать такие управляемые сети в корыстных целях.

Веб-ориентированные ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня. Множеством компьютеров можно управлять с любого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, поддерживающего WAP/GPRS, а с веб-интерфейсом способен справиться даже школьник. Дальнейшее развитие Интернета и совершенствование технологий веб-разработки также стимулировали использование веб-ботнетов.

Были попытки создать ботнеты, управляемые через каналы IM-служб. Но IM-ботнеты не получили широкого распространения, в частности потому, что они требуют регистрации номеров IM, а в условиях, когда системы защиты от автоматической регистрации аккаунтов постоянно меняются, зарегистрировать множество аккаунтов автоматически довольно сложно.

На этом эволюция ботнетов не закончилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру сети. Оказалось, что ботнет классической архитектуры (много ботов и один центр управления) чрезвычайно уязвим, так как зависит от критического узла – центра управления, при отключении которого сеть можно считать потерянной. Решения в виде одновременного заражения компьютеров разными ботами, ориентированными на разные центры управления, иногда срабатывают, но такие ботнеты гораздо сложнее поддерживать, поскольку нужно следить сразу за двумя-тремя центрами управления.

Весьма эффективными и опасными с точки зрения экспертов могут стать ботнеты с архитектурой P2P, в которых центра управления нет. Владельцу сети достаточно дать команду одной из машин, дальше боты передают команду сами. В принципе каждый компьютер в ботнете может соединиться с любым другим компьютером, входящим в ту же сеть. Эксперименты по созданию таких ботнетов проводились довольно давно, однако первый крупномасштабный ботнет на основе P2P-архитектуры появился только в 2007 году. И именно P2P-ботнеты сейчас занимают внимание исследователей информационной безопасности.

P2P-ботнеты

«Штормовой» ботнет

В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. Авторы «штормового» червя распространяли свое детище весьма активно: по-видимому, они создали целую фабрику по созданию новых версий вредоносной программы. Начиная с января 2007 года мы ежедневно получаем 3-5 различных вариантов Storm Worm (по классификации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).

Некоторые эксперты считают, что Storm Worm представляет собой вредоносную программу для построения зомби-сетей нового поколения. О том, что бот был разработан и распространяется профессионалами в своей области, а архитектура и защита зомби-сети хорошо продуманы, свидетельствуют следующие характеристики «штормового» ботнета:

• Код бота мутирует, что напоминает полиморфные вирусы. Отличие Storm Worm состоит в том, что код, осуществляющий мутации, работает не внутри самой программы (как у полиморфиков), а на специальном компьютере в Сети. Этот механизм получил название «серверный полиморфизм» (server-side polymorphism).
• Мутации происходят достаточно часто (были зафиксированы случаи мутаций раз в час) и – главное – на стороне сервера, так что обновления антивирусных баз для многих пользователей оказываются неэффективными.
• Штормовой ботнет защищает свои ресурсы от слишком любопытных исследователей. Многие антивирусные компании периодически скачивают новые экземпляры червя с серверов, откуда происходит распространение вредоносной программы. Когда обнаруживаются частые обращения с одного и того же адреса, ботам дается команда начать DDoS-атаку этого адреса.
• Вредоносная программа-бот старается как можно незаметнее функционировать в системе. Очевидно, что программа, которая постоянно атакует компьютер или проявляет большую сетевую активность, быстрее обращает на себя внимание и администраторов, и пользователей. Поэтому дозированная активность, которая не требует использования значительного числа компьютерных ресурсов, с точки зрения вредоносной программы наиболее безопасна.
• Вместо коммуникации с центральным сервером штормовой червь связывается лишь с несколькими «соседними» компьютерами в зараженной сети, что делает задачу выявления всех зомби-машин в P2P-сети практически невыполнимой. Это принцип организации разведгруппы: каждый, кто входит в такую группу, знает только нескольких других членов группы, и провал одного агента разведки не означает, что вся группа раскрыта.
• Авторы червя постоянно меняют способы его распространения. Изначально вредоносная программа распространялась как вложение в спамовые письма (в частности, под видом PDF-файлов); затем в спаме рассылались ссылки на зараженные файлы; были также попытки автоматического размещения в блогах комментариев, которые содержали ссылки на зараженные веб-страницы. И при любых способах распространения этой вредоносной программы использовались изощренные методы социальной инженерии.

Storm-ботнет принес немало проблем. Помимо массовой рассылки спама, его подозревают в участии в различных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям некоторых исследователей, даже во время кибератаки на сайты эстонских правительственных учреждений в 2007 году не обошлось без участия «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает неприятные ощущения у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что истинные размеры «штормового» ботнета так и остались тайной. Если другие зомби-сети, полностью или частично опирающиеся на C&C, можно увидеть целиком (в C&C виден каждый подключенный зомби-компьютер), то списка зараженных машин, входящих в «штормовой» ботнет, не видел никто из экспертов. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин.

К концу 2007 года Storm-ботнет как будто растаял, хотя мы по-прежнему ежедневно получаем несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью.

Mayday

Еще одним интересным, на наш взгляд, ботнетом, который технологически несколько отличается от своих предшественников, является Mayday. Такое название бот (по классификации «Лаборатории Касперского – Backdoor.Win32.Mayday) и созданная на его основе сеть получили благодаря тому, что имя домена, к которому обращалась вредоносная программа в одной из своих модификаций, включало в себя слово «mayday».

Mayday – это очередной ботнет, построенный на архитектуре P2P. После запуска бот соединяется с указанным в теле программы веб-сервером, регистрируется в его базе данных и получает список всех ботов в зараженной сети (в случае Storm Worm это была лишь часть списка). Далее бот устанавливает соединения типа «компьютер-компьютер» с другими ботами, входящими в зомби-сеть.

Нами было зарегистрировано 6 различных серверов по всему миру (в Великобритании, США, Нидерландах, Германии), с которыми связывались боты на стадии построения ботнета. К началу марта в работоспособном состоянии остался лишь один из серверов, на котором было зарегистрировано около 3 тысяч ботов (напомним, что, по самым скромным оценкам, в «штормовой» ботнет входили десятки тысяч зараженных машин). Помимо размеров сети, Mayday явно уступает своему «старшему брату» Storm в нескольких важных позициях: в Mayday-ботнете используется примитивный нешифрованный протокол общения, код вредоносной программы не подвергся специальной обработке для усложнения его анализа антивирусным ПО, и, главное, новые варианты бота выпускаются совсем не с той периодичностью, какую мы видим в случае Storm Worm. Программа Backdoor.Win32.Mayday была впервые задетектирована «Лабораторией Касперского» еще в конце ноября 2007 года, и за четыре прошедших месяца в нашу коллекцию попало чуть больше 20 различных вариантов программы.

Что касается технологических новинок, то следует отметить два нестандартных подхода, реализованных в ботнете.

Во-первых, в сети Mayday коммуникация типа «компьютер-компьютер» (P2P) изначально основана на передаче ICMP-сообщений с 32-байтной полезной нагрузкой.

Большинству пользователей протокол ICMP (Internet Control Message Protocol - межсетевой протокол управляющих сообщений) знаком по прикладной утилите PING, использующей ICMP для проверки доступности сетевого хоста. Однако основные функции протокола значительно шире. Вот что сказано об ICMP в Wikipedia: «ICMP - сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и в других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции».

На рисунке 10 изображен интерфейс программы-сниффера сетевых пакетов, зарегистрировавшей передачу ICMP-пакетов от бота Mayday. Никакой из ботов, известных нам ранее, не использовал ICMP для передачи данных.

Рис. 3. ICMP-пакеты, отправляемые ботом Mayday

С помощью ICMP осуществляется проверка доступности ботов в зараженной сети и их идентификация. Поскольку бот Mayday ориентирован на работу в Windows XP SP2, после запуска он изменяет правила сетевого экрана Windows, так чтобы получение ICMP-пакетов было разрешено.

Второй и, пожалуй, основной особенностью Mayday-ботнета является его центр управления.

Для работы центров управления веб-ориентированных ботнетов используется механизм, известный как CGI (Common Gateway Interface). Изначально технологией веб-серверов была предусмотрена возможность использования исполняемых файлов в качестве реализации CGI, позже появились различные скрипт-движки. CGI-приложение генерирует в реальном времени контент запрашиваемой пользователем веб-страницы, обеспечивая выполнение программы и вывод результатов ее работы вместо статических данных с сервера. CGI-скрипт работает по аналогичной схеме, но для вывода результатов своей работы ему требуется интерпретатор – скрипт-движок. Как правило, командные центры веб-ориентированных ботнетов разрабатываются злоумышленниками с использованием скрипт-движков.

В сотрудничестве с правоохранительными органами нам удалось получить копию программы, которая работает в командном центре ботнета Mayday. Серверное ПО Mayday представляет собой цельный (без модулей) 1,2-мегабайтный исполняемый ELF-файл (Linux-аналог исполняемых EXE-файлов Microsoft Windows), не требующий наличия скрипт-движка в системе. На первый взгляд, ничего удивительного в разработке авторами Mayday CGI-приложения вместо CGI-скрипта вроде бы нет. Тем не менее, такое решение вызывает ряд вопросов.

Разработка CGI-приложения на пару порядков сложнее разработки CGI-скрипта, поскольку требует особых усилий для реализации стабильного и надежного кода. В настоящее время 99% веб-разработок ведется на основе скрипт-движков, а монолитные исполняемые CGI-программы создаются лишь в случае жесткой необходимости оптимизировать все до мелочей. Как правило, такой подход используется крупными корпорациями при разработке проектов, которые должны работать в условиях огромных нагрузок. Монолитные исполняемые CGI-программы используются, например, в таких веб-системах, как e-Bay, Paypal, Yahoo и др.

Зачем же создавался безмодульный исполняемый файл в случае ботнета Mayday? Одной из возможных причин могло быть желание разработчиков усложнить «чужакам» задачу редактирования, перенастройки и перепродажи центра управления. В любом случае анализ структуры серверного ПО Mayday дает основание предполагать, что такая серьезная разработка (код аккуратно причесан, созданная система классов универсальна) требует хорошо организованной команды разработчиков. Более того, для создания ПО Mayday-ботнета злоумышленникам, скорее всего, пришлось вести работу над двумя разными проектами: разработкой программ для Windows и для Linux.

Весной 2008 года «Лабораторией Касперского» не было зафиксировано ни одного нового образца Mayday-бота. Возможно, авторы вредоносной программы взяли таймаут, и Mayday-ботнет еще проявит себя в недалеком будущем.

Ботнет-бизнес

Ответ на вопрос, почему ботнеты продолжают развиваться и становятся все более актуальной проблемой, можно получить, оценив нынешнее состояние рынка ботнетов. Сегодня киберпреступникам, которые хотят построить ботнет, не нужны ни специальные знания, ни крупные денежные суммы. Подпольная ботнет-индустрия по сходной цене предоставляет желающим обзавестись ботнетом все необходимое: ПО, готовые сети и услуги по анонимному хостингу.

Заглянем на интернет-форумы, специализирующиеся на продаже нелегального софта и услуг, посмотрим, как работает ботнет-индустрия, обслуживающая хозяев зомби-сетей.

Первое, что необходимо для построения ботнета, – это сам бот, программа, позволяющая удаленно выполнять на компьютере пользователя некоторые действия без ведома пользователя. ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление и обратившись к тому, кто его разместил.

Рис. 4. Объявление о продаже бота и панели управления (перевод с русского)

Цены на боты варьируются от $5 до $1000, в зависимости от того, насколько распространен бот, детектируется ли он антивирусом, какие команды поддерживает и т.д.

Для построения простейшего веб-ориентированного ботнета необходимо иметь хостинговую площадку, где можно разместить центр управления. Любой желающий может купить такую площадку – вместе с услугами службы поддержки и возможностью анонимной работы с сервером (хостер, как правило, гарантирует недоступность файлов журнала для кого-либо, в том числе для «компетентных» органов). Объявлений, подобных приведенному ниже, на форумах в Интернете достаточно много.

Рис. 5. Предложение хостинг-услуг для построения ботнета

Когда площадка C&C построена, необходимы зараженные ботом машины. Желающие могут купить уже готовую сеть с «чужим» установленным ботом. Поскольку случаи кражи ботнетов в среде злоумышленников не редкость, покупатели, как правило, предпочитают заменить на собственные и вредоносную программу, и центр управления, получив гарантированный контроль над зомби-сетью. Для этого боту в купленной сети дают команду скачать и запустить новый бот (с новым адресом C&C) и самоудалиться. Тем самым «чужая» программа-бот заменяется на «свою», и ботнет начинает взаимодействовать с новым центром управления. Такая «перезагрузка» ботнетов является нелишней и с точки зрения их защищенности и анонимности: «старый» C&C и «старый» бот еще до продажи вполне могут попасть в поле зрения специалистов по компьютерной безопасности.

К сожалению, построить собственный ботнет также не составляет особого труда: для этого есть специальные средства. Самые популярные из них – программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в программном обеспечении браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack. После срабатывания эксплойта браузер покорно загружает из Сети на компьютер пользователя исполняемый файл и запускает его. Таким файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злоумышленнику.

К сожалению, эти средства настолько доступны, что даже подростки с легкостью их находят и пытаются заработать на перепродаже.

Рис. 6. Объявление о продаже MPack, вывешенное 16-летним подростком

Любопытно, что ExploitPack изначально были разработаны русскими хакерами, однако нашли своих клиентов и в других странах. Эти вредоносные программы были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и теперь активно используются, например, в Китае.

Рис. 7. Оригинальная русская версия IcePack

Рис. 8. Локализованная китайская версия IcePack

Любая система тем популярнее и тем успешнее на киберкриминальном рынке, чем проще ее использовать. Это понимают и разработчики таких систем, поэтому для повышения популярности своих детищ и соответственно увеличения спроса на них разрабатывают простые механизмы установки и конфигурирования систем – будь то система для C&C или просто ExploitPack.

Так, например, установка командного центра, как правило, состоит из копирования файлов на сторону веб-сервера и обращения с помощью браузера к скрипту install.php. Значительно облегчает задачу наличие веб-интерфейса инсталлятора: киберпреступникам достаточно правильно заполнить поля веб-формы, чтобы командный центр был правильно сконфигурирован и начал работать.

Рис. 9. Веб-инсталлятор C&C

В киберкриминальном мире хорошо известно, что рано или поздно антивирусы начнут детектировать программу-бота. Как следствие, те зараженные машины, на которых стоит антивирус, для злоумышленников будут потеряны, а скорость заражения новых компьютеров значительно снизится. Есть несколько способов, с помощью которых хозяева ботнетов пытаются сохранить свои сети. Наиболее эффективный – защита вредоносной программы от детектирования с помощью специальной обработки исполняемого кода: киберкриминальный рынок предлагает широкий выбор услуг по его шифрованию, упаковке и обфускации.