Автор: Виталий Камлюк
Источник: viruslist.com
В статье речь пойдет о том, что такое зомби-сети, или ботнеты, как они формируются, кто и как наживается с их помощью, а также о том, каковы тенденции развития ботнетов.
Ботнеты существуют уже около 10 лет, и приблизительно столько же эксперты предупреждают о той опасности, которую они представляют. Тем не менее, проблема ботнетов по-прежнему остается недооцененной, и многие пользователи (до тех пор пока им не отключат Интернет, пока они не обнаружат исчезновение денег с кредитных карт или у них не украдут почтовый ящик или аккаунт IM) плохо понимают, в чем состоит реальная угроза зомби-сетей.
Что такое ботнет
Итак, прежде всего, давайте разберемся, что такое ботнет или зомби-сеть.
Ботнет – это сеть компьютеров, зараженных вредоносной программой поведения Backdoor. Backdoor’ы позволяют киберпреступникам удаленно управлять зараженными машинами (каждой в отдельности, частью компьютеров, входящих в сеть, или всей сетью целиком) без ведома пользователя. Такие программы называются ботами.
Ботнеты обладают мощными вычислительными ресурсами, являются грозным кибероружием и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с инфицированным компьютером и управлять им, используя встроенные в тело программы-бота команды. В случае опосредованного управления бот сам соединяется с центром управления или другими машинами в сети, посылает запрос и выполняет полученную команду.
В любом случае хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому зараженные вредоносной программой-ботом компьютеры, находящиеся под тайным контролем киберпреступников, называют еще зомби-компьютерами, а сеть, в которую они входят, – зомби-сетью. Чаще всего зомби-машинами становятся персональные компьютеры домашних пользователей.
Использование ботнетов
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба: от рассылки спама до атак на государственные сети.
Рассылка спама. Это наиболее распространенный и один из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам, в настоящее время более 80% спама рассылается с зомби-машин. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату спамеры могут взять ботнет в аренду.
Именно спамеры могут по достоинству оценить эффективность ботнета: по нашим данным, среднестатистический спамер зарабатывает 50-100 тысяч долларов в год. Многотысячные ботнеты позволяют спамерам осуществлять с зараженных машин миллионные рассылки в течение короткого времени. Кроме обеспечения скорости и масштабности рассылок, ботнеты решают еще одну проблему спамеров. Адреса, с которых активно рассылается спам, зачастую попадают в черные списки почтовых серверов, и письма, приходящие с них, блокируются или автоматически помечаются как спам. Рассылка спама с сотен тысяч зомби-машин позволяет не использовать для рассылки одни и те же адреса.
Еще один «бонус» ботнетов – возможность сбора адресов электронной почты на зараженных машинах. Украденные адреса продаются спамерам либо используются при рассылке спама самими хозяевами ботнета. При этом растущий ботнет позволяет получать новые и новые адреса.
Кибершантаж. Ботнеты широко используются и для проведения DDoS атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе такой атаки с зараженных ботом машин создается поток ложных запросов на атакуемый сервер в Сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют выкуп.
Сегодня многие компании работают только через Интернет, и для них недоступность серверов означает полную остановку бизнеса, что, естественно, приводит к финансовым потерям. Чтобы поскорее вернуть стабильность своим серверам, такие компании скорее выполнят требования шантажистов, чем обратятся в полицию за помощью. Именно на это и рассчитывают киберпреступники, поэтому DDoS-атак становится все больше.
DDoS-атаки могут использоваться и как средство политического воздействия. В этих случаях атакуются, как правило, серверы государственных учреждений или правительственных организаций. Опасность такого рода атак состоит еще и в том, что они могут носить провокационный характер: кибератака серверов одной страны может осуществляться с серверов другой, а управляться с территории третьего государства.
Анонимный доступ в Сеть. Злоумышленники могут обращаться к серверам в Сети, используя зомби-машины, и от имени зараженных машин совершать киберпреступления - например, взламывать веб-сайты или переводить украденные денежные средства.
Продажа и аренда ботнетов. Один из вариантов незаконного заработка при помощи ботнетов основывается на сдаче ботнета в аренду или продаже готовой сети. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
Фишинг. Адреса фишинговых страниц могут довольно быстро попасть в черные списки. Ботнет дает возможность фишерам быстро менять адрес фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес веб-сервера фишера.
Кража конфиденциальных данных. Этот вид криминальной деятельности, пожалуй, никогда не перестанет привлекать киберпреступников, а с помощью ботнетов улов в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, веб-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз! Бот, которым заражены компьютеры в зомби-сети, может скачать другую вредоносную программу – например, троянца, ворующего пароли. В таком случае инфицированными троянской программой окажутся все компьютеры, входящие в эту зомби-сеть, и злоумышленники смогут заполучить пароли со всех зараженных машин. Украденные пароли перепродаются или используются, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) с целью дальнейшего распространения вредоносной программы-бота и расширения зомби-сети.
Команды для ботов
Команды, которые выполняют боты, бывают самые разные, но, как правило, они входят в нижеприведенный список. Названия команд могут отличаться в разных реализациях ботов, но суть остается той же.
Update: загрузить и выполнить указанный исполняемый файл или модуль с указанного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу хозяина зомби-сети, в случае если хозяин хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в Интернете.
Flood: начать процесс создания потока ложных запросов на указанный сервер в Сети с целью вывода из строя сервера или перегрузки интернет-канала указанного сегмента глобальной Сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей. Такой тип атаки с использованием ботнетов носит название DDoS-атаки. Типов различных вариантов создания ложных сетевых запросов существует очень много, поэтому мы не будем описывать их все и ограничимся лишь общим понятием.
Spam: загрузить шаблон спам-сообщения и начать рассылку спама на указанные адреса (для каждого бота выделяется своя порция адресов).
Proxy: использовать данный компьютер как прокси-сервер. Зачастую эта функция не выделяется в отдельную команду, а сразу включается в общий функционал бота. Это одна из прикладных функций, позволяющая использовать любой компьютер из ботнета как прокси-сервер с целью сокрытия реального адреса злоумышленника, управляющего ботнетом.
Существуют и другие команды, однако они не входят в число наиболее популярных и поэтому реализованы лишь в отдельных ботах. Эти дополнительные команды позволяют получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать указанный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т. п.
Типы ботнетов
Классификация ботнетов сегодня достаточна проста. Она основывается на архитектуре ботнетов и протоколах, используемых для управления ботами.
Классификация ботнетов. Архитектура
До сих пор были известны лишь два типа архитектуры ботнетов.
- Ботнеты с единым центром. В ботнетах с такой архитектурой все зомби-компьютеры соединяются с одним центром управления, или C&C (Command&Control Centre). C&C ожидает подключения новых ботов, регистрирует их в своей базе, следит за их состоянием и выдает им команды, выбранные владельцем ботнета из списка всех возможных команд для бота. Соответственно, в C&C видны все подключенные зомби-компьютеры, а для управления централизованной зомби-сетью хозяину сети необходим доступ к командному центру.
Рис. 1. Централизованная топология (C&C)
Ботнеты с централизованным управлением являются самым распространенным типом зомби-сетей. Такие ботнеты легче создавать, ими легче управлять, и они быстрее реагируют на команды. Впрочем, бороться с ботнетами с централизованным управлением тоже легче: для нейтрализации всего ботнета достаточно закрыть C&C.
- Децентрализованные ботнеты, или P2P-ботнеты (от англ. “peer-to-peer”, что означает «соединение типа “точка-точка”»). В случае децентрализованного ботнета боты соединяются не с центром управления, а с несколькими зараженными машинами из зомби-сети. Команды передаются от бота к боту: у каждого бота есть список адресов нескольких «соседей», и при получении команды от кого-либо из них он передает ее остальным, тем самым распространяя команду дальше. В этом случае злоумышленнику, чтобы управлять всем ботнетом, достаточно иметь доступ хотя бы к одному компьютеру, входящему в зомби-сеть.
Рис. 2 Децентрализованная топология (P2P)
На практике построение децентрализованного ботнета не очень удобно, поскольку каждому новому зараженному компьютеру необходимо предоставить список тех ботов, с которыми он будет связываться в зомби-сети. Гораздо проще сначала направить бот на централизованный сервер, где он получит список ботов-«соседей», а затем уже переключить бот на взаимодействие через P2P-подключения. Такая смешанная топология также относится к типу P2P, хотя на отдельном этапе боты используют C&C. Бороться с децентрализованными ботнетами гораздо сложнее, поскольку в действующем ботнете центр управления отсутствует.
Классификация ботнетов. Используемые сетевые протоколы
Для передачи боту команд хозяина ботнета необходимо, как минимум, установить сетевое соединение между зомби-компьютером и компьютером, передающим команду. Все сетевые взаимодействия основаны на сетевых протоколах, определяющих правила общения компьютеров в сети. Поэтому существует классификация ботнетов, основанная на используемом протоколе общения.
По типу используемых сетевых протоколов ботнеты делятся на следующие группы.
- IRC-ориентированные. Это один из самых первых видов ботнетов, где управление ботами осуществлялось на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединялся с указанным в теле программы-бота IRC-сервером, заходил на определенный канал и ждал команды от своего хозяина.
- IM-orientedIM-ориентированные. Не очень популярный вид ботнетов. Отличается от своих IRC-ориентированных собратьев только тем, что для передачи данных используются каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др. Невысокая популярность таких ботнетов обусловлена сложностями, возникающими при создании отдельного аккаунта IM-службы для каждого бота. Дело в том, что боты должны выходить в Сеть и постоянно присутствовать онлайн. Поскольку большинство IM-служб не позволяют входить в систему с разных компьютеров, используя один и тот же аккаунт, у каждого бота должен быть свой номер IM-службы. При этом владельцы IM-служб всячески препятствуют любой автоматической регистрации аккаунтов. В результате хозяева IM-ориентированных ботнетов сильно ограничены в числе имеющихся зарегистрированных аккаунтов, а значит и в числе ботов, одновременно присутствующих в Сети. Конечно, боты могут использовать один и тот же аккаунт, выходить в онлайн один раз в определенный промежуток времени, отсылать данные на номер хозяина и в течение короткого промежутка времени ожидать ответа, но это все весьма проблематично: такая сеть реагирует на команды очень медленно.
- Веб-ориентированные. Относительно новая и быстро развивающаяся ветвь ботнетов, ориентированная на управление через www. Бот соединяется с определенным веб-сервером, получает с него команды и передает в ответ данные. Такие ботнеты популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.
- Другие. Кроме перечисленных выше существуют и другие виды ботнетов, которые соединяются на основе своего собственного протокола, базируясь лишь на стеке протоколов TCP/IP: используют лишь общие протоколы TCP, ICMP, UDP.
Эволюция ботнетов
История ботнетов началась в 1998-1999 годах, когда появились первые программы поведения Backdoor - небезызвестные NetBus и BackOrifice2000. Это были концепты, т.е. программы, в которых реализованы принципиально новые технологические решения. NetBus и BackOrifice2000 впервые несли полный набор функций удаленного управления зараженным компьютером, что позволяло злоумышленникам работать с файлами на удаленном компьютере, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т.д.
Изначально созданные как троянские программы, бэкдоры работали без разрешения или уведомления пользователя. Для управления зараженным компьютером злоумышленник должен был сам установить соединение с каждой инфицированной машиной. Первые бэкдоры работали в локальных сетях на основе стека протоколов TCP/IP и, по сути, являлись демонстрацией вариантов использования Windows API для удаленного управления компьютером.
Клиентские программы для удаленного управления компьютерами уже в начале 2000-х могли одновременно управлять сразу несколькими машинами. Однако, в отличие от современных бэкдоров, программы NetBus и BackOrifice2000 выступали в роли сетевого сервера: они открывали определенный порт и пассивно ждали подключений хозяина (Backdoor’ы, используемые для построения ботнетов сегодня, устанавливают соединения сами).
Затем кто-то из злоумышленников придумал сделать так, чтобы зараженные бэкдорами компьютеры сами выходили на связь и их всегда можно было видеть онлайн (при условии, что они включены и работают). Скорее всего, этот «кто-то» был хакером, потому что боты нового поколения использовали традиционный для хакеров канал связи - IRC (Internet Relay Chat). Вероятно, разработку новых ботов сильно упростило то, что в самой системе IRC изначально функционировали боты с открытым исходным кодом, но не направленные на удаленное управление системой, а с другим функционалом (эти программы отвечали на запросы пользователей, например, выдавали информацию о погоде или о времени последнего появления определенного пользователя в чате).
Компьютеры, зараженные новыми ботами, стали соединяться с IRC-серверами, в качестве посетителей выходить на связь через определенный IRC-канал и ждать указаний от хозяина ботнета. Хозяин мог в любое время появиться онлайн, увидеть список ботов, отослать команды сразу всем зараженным компьютерам или отправить отдельное сообщение одной машине. Это был первый механизм реализации ботнета с централизованным управлением, позже названный C&C (Command & Control Centre).
Разработка таких ботов была несложной благодаря простоте синтаксиса протокола IRC. Для того чтобы использовать IRC-сервер, необязательно нужна специализированная клиентская программа. Достаточно иметь универсальный сетевой клиент, такой как приложение Netcat или Telnet.
О появлении IRC-ботнетов стало известно довольно быстро. Как только о них появились публикации в хакерских журналах, появились «угонщики» ботнетов люди, которые обладали, возможно, теми же знаниями, что и владельцы ботнетов, но охотились за более легкой наживой. Они искали такие IRC-каналы, где было подозрительно много посетителей, заходили на них, изучали и «угоняли» ботнет: перехватывали управление сетью, перенаправляли боты на другие, защищенные паролем, IRC-каналы и в результате получали полный единоличный контроль над «чужой» сетью зараженных машин.
Следующим этапом развития ботнетов стало перемещение центров управления во всемирную паутину. Сначала хакеры разработали средства удаленного управления сервером, которые были основаны на таких популярных скрипт-движках, как Perl и PHP, в редких случаях – ASP, JSP и нескольких других. Затем кто-то создал такое соединение компьютера в локальной сети с сервером в Интернете, которое позволяло откуда угодно управлять компьютером. Схема удаленного управления компьютером в локальной сети в обход таких средств защиты, как прокси и NAT, была опубликована в Интернете и быстро стала популярной в определенных кругах. Удаленное управление было основано на установлении HTTP-соединения с управляющим сервером с использованием локальных настроек компьютера. Если пользователь устанавливал в настройках системы адрес, порт, логин и пароль для прокси-сервера, автоматически активизировался механизм авторизации библиотеки функций для поддержки протокола HTTP (Wininet.dll). С точки зрения программиста, это было простым и доступным решением.
Полулегальные разработки средств удаленного управления, направленные на получение в обход защиты удаленного доступа к машинам в локальных сетях, дали толчок к созданию веб-ориентированных ботнетов. Чуть позже был разработан простой скрипт управления небольшой сетью компьютеров, а злоумышленники нашли способ использовать такие управляемые сети в корыстных целях.
Веб-ориентированные ботнеты оказались чрезвычайно удобным решением, которое популярно и сегодня. Множеством компьютеров можно управлять с любого устройства, имеющего доступ в Интернет, в том числе с мобильного телефона, поддерживающего WAP/GPRS, а с веб-интерфейсом способен справиться даже школьник. Дальнейшее развитие Интернета и совершенствование технологий веб-разработки также стимулировали использование веб-ботнетов.
Были попытки создать ботнеты, управляемые через каналы IM-служб. Но IM-ботнеты не получили широкого распространения, в частности потому, что они требуют регистрации номеров IM, а в условиях, когда системы защиты от автоматической регистрации аккаунтов постоянно меняются, зарегистрировать множество аккаунтов автоматически довольно сложно.
На этом эволюция ботнетов не закончилась: перебрав варианты использования протоколов, разработчики ботнетов переключились на архитектуру сети. Оказалось, что ботнет классической архитектуры (много ботов и один центр управления) чрезвычайно уязвим, так как зависит от критического узла – центра управления, при отключении которого сеть можно считать потерянной. Решения в виде одновременного заражения компьютеров разными ботами, ориентированными на разные центры управления, иногда срабатывают, но такие ботнеты гораздо сложнее поддерживать, поскольку нужно следить сразу за двумя-тремя центрами управления.
Весьма эффективными и опасными с точки зрения экспертов могут стать ботнеты с архитектурой P2P, в которых центра управления нет. Владельцу сети достаточно дать команду одной из машин, дальше боты передают команду сами. В принципе каждый компьютер в ботнете может соединиться с любым другим компьютером, входящим в ту же сеть. Эксперименты по созданию таких ботнетов проводились довольно давно, однако первый крупномасштабный ботнет на основе P2P-архитектуры появился только в 2007 году. И именно P2P-ботнеты сейчас занимают внимание исследователей информационной безопасности.
P2P-ботнеты
«Штормовой» ботнет
В 2007 году внимание исследователей информационной безопасности привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. Авторы «штормового» червя распространяли свое детище весьма активно: по-видимому, они создали целую фабрику по созданию новых версий вредоносной программы. Начиная с января 2007 года мы ежедневно получаем 3-5 различных вариантов Storm Worm (по классификации «Лаборатории Касперского»- Email-Worm.Win32.Zhelatin).
Некоторые эксперты считают, что Storm Worm представляет собой вредоносную программу для построения зомби-сетей нового поколения. О том, что бот был разработан и распространяется профессионалами в своей области, а архитектура и защита зомби-сети хорошо продуманы, свидетельствуют следующие характеристики «штормового» ботнета:
- Код бота мутирует, что напоминает полиморфные вирусы. Отличие Storm Worm состоит в том, что код, осуществляющий мутации, работает не внутри самой программы (как у полиморфиков), а на специальном компьютере в Сети. Этот механизм получил название «серверный полиморфизм» (server-side polymorphism).
- Мутации происходят достаточно часто (были зафиксированы случаи мутаций раз в час) и – главное – на стороне сервера, так что обновления антивирусных баз для многих пользователей оказываются неэффективными.
- Штормовой ботнет защищает свои ресурсы от слишком любопытных исследователей. Многие антивирусные компании периодически скачивают новые экземпляры червя с серверов, откуда происходит распространение вредоносной программы. Когда обнаруживаются частые обращения с одного и того же адреса, ботам дается команда начать DDoS-атаку этого адреса .
- Вредоносная программа-бот старается как можно незаметнее функционировать в системе. Очевидно, что программа, которая постоянно атакует компьютер или проявляет большую сетевую активность, быстрее обращает на себя внимание и администраторов, и пользователей. Поэтому дозированная активность, которая не требует использования значительного числа компьютерных ресурсов, с точки зрения вредоносной программы наиболее безопасна.
- Вместо коммуникации с центральным сервером штормовой червь связывается лишь с несколькими «соседними» компьютерами в зараженной сети, что делает задачу выявления всех зомби-машин в P2P-сети практически невыполнимой. Это принцип организации разведгруппы: каждый, кто входит в такую группу, знает только нескольких других членов группы, и провал одного агента разведки не означает, что вся группа раскрыта.
- Авторы червя постоянно меняют способы его распространения. Изначально вредоносная программа распространялась как вложение в спамовые письма (в частности, под видом PDF-файлов); затем в спаме рассылались ссылки на зараженные файлы; были также попытки автоматического размещения в блогах комментариев, которые содержали ссылки на зараженные веб-страницы. И при любых способах распространения этой вредоносной программы использовались изощренные методы социальной инженерии.
Storm-ботнет принес немало проблем. Помимо массовой рассылки спама, его подозревают в участии в различных крупномасштабных DDoS-атаках по всему миру, и, по заявлениям некоторых исследователей, даже во время кибератаки на сайты эстонских правительственных учреждений в 2007 году не обошлось без участия «штормового» ботнета. То, на что потенциально способна такая сеть, вызывает неприятные ощущения у провайдеров и интернет-хостеров. Напряжения добавляет тот факт, что истинные размеры «штормового» ботнета так и остались тайной. Если другие зомби-сети, полностью или частично опирающиеся на C&C, можно увидеть целиком (в C&C виден каждый подключенный зомби-компьютер), то списка зараженных машин, входящих в «штормовой» ботнет, не видел никто из экспертов. По разным оценкам, размеры ботнета Storm Worm могли составлять от 50 тысяч до 10 миллионов зомби-машин.
К концу 2007 года Storm-ботнет как будто растаял, хотя мы по-прежнему ежедневно получаем несколько новых версий бота. Некоторые эксперты считают, что зомби-сеть распродали по частям, другие полагают, что ботнет оказался нерентабельным: его разработка и поддержка не окупались получаемой прибылью.
Mayday
Еще одним интересным, на наш взгляд, ботнетом, который технологически несколько отличается от своих предшественников, является Mayday. Такое название бот (по классификации «Лаборатории Касперского - Backdoor.Win32.Mayday) и созданная на его основе сеть получили благодаря тому, что имя домена, к которому обращалась вредоносная программа в одной из своих модификаций, включало в себя слово «mayday».
Mayday - это очередной ботнет, построенный на архитектуре P2P. После запуска бот соединяется с указанным в теле программы веб-сервером, регистрируется в его базе данных и получает список всех ботов в зараженной сети (в случае Storm Worm это была лишь часть списка). Далее бот устанавливает соединения типа «компьютер-компьютер» с другими ботами, входящими в зомби-сеть.
Нами было зарегистрировано 6 различных серверов по всему миру (в Великобритании, США, Нидерландах, Германии), с которыми связывались боты на стадии построения ботнета. К началу марта в работоспособном состоянии остался лишь один из серверов, на котором было зарегистрировано около 3 тысяч ботов (напомним, что, по самым скромным оценкам, в «штормовой» ботнет входили десятки тысяч зараженных машин). Помимо размеров сети, Mayday явно уступает своему «старшему брату» Storm в нескольких важных позициях: в Mayday-ботнете используется примитивный нешифрованный протокол общения, код вредоносной программы не подвергся специальной обработке для усложнения его анализа антивирусным ПО, и, главное, новые варианты бота выпускаются совсем не с той периодичностью, какую мы видим в случае Storm Worm. Программа Backdoor.Win32.Mayday была впервые задетектирована «Лабораторией Касперского» еще в конце ноября 2007 года, и за четыре прошедших месяца в нашу коллекцию попало чуть больше 20 различных вариантов программы.
Что касается технологических новинок, то следует отметить два нестандартных подхода, реализованных в ботнете.
Во-первых, в сети Mayday коммуникация типа «компьютер-компьютер» (P2P) изначально основана на передаче ICMP-сообщений с 32-байтной полезной нагрузкой.
Большинству пользователей протокол ICMP (Internet Control Message Protocol — межсетевой протокол управляющих сообщений) знаком по прикладной утилите PING, использующей ICMP для проверки доступности сетевого хоста. Однако основные функции протокола значительно шире. Вот что сказано об ICMP в Wikipedia: «ICMP — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и в других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции».
На рисунке 10 изображен интерфейс программы-сниффера сетевых пакетов, зарегистрировавшей передачу ICMP-пакетов от бота Mayday. Никакой из ботов, известных нам ранее, не использовал ICMP для передачи данных.
Рис. 3. ICMP-пакеты, отправляемые ботом Mayday
С помощью ICMP осуществляется проверка доступности ботов в зараженной сети и их идентификация. Поскольку бот Mayday ориентирован на работу в Windows XP SP2, после запуска он изменяет правила сетевого экрана Windows, так чтобы получение ICMP-пакетов было разрешено.
Второй и, пожалуй, основной особенностью Mayday-ботнета является его центр управления.
Для работы центров управления веб-ориентированных ботнетов используется механизм, известный как CGI (Common Gateway Interface). Изначально технологией веб-серверов была предусмотрена возможность использования исполняемых файлов в качестве реализации CGI, позже появились различные скрипт-движки. CGI-приложение генерирует в реальном времени контент запрашиваемой пользователем веб-страницы, обеспечивая выполнение программы и вывод результатов ее работы вместо статических данных с сервера. CGI-скрипт работает по аналогичной схеме, но для вывода результатов своей работы ему требуется интерпретатор – скрипт-движок. Как правило, командные центры веб-ориентированных ботнетов разрабатываются злоумышленниками с использованием скрипт-движков.
В сотрудничестве с правоохранительными органами нам удалось получить копию программы, которая работает в командном центре ботнета Mayday. Серверное ПО Mayday представляет собой цельный (без модулей) 1,2-мегабайтный исполняемый ELF-файл (Linux-аналог исполняемых EXE-файлов Microsoft Windows), не требующий наличия скрипт-движка в системе. На первый взгляд, ничего удивительного в разработке авторами Mayday CGI-приложения вместо CGI-скрипта вроде бы нет. Тем не менее, такое решение вызывает ряд вопросов.
Разработка CGI-приложения на пару порядков сложнее разработки CGI-скрипта, поскольку требует особых усилий для реализации стабильного и надежного кода. В настоящее время 99% веб-разработок ведется на основе скрипт-движков, а монолитные исполняемые CGI-программы создаются лишь в случае жесткой необходимости оптимизировать все до мелочей. Как правило, такой подход используется крупными корпорациями при разработке проектов, которые должны работать в условиях огромных нагрузок. Монолитные исполняемые CGI-программы используются, например, в таких веб-системах, как e-Bay, Paypal, Yahoo и др.
Зачем же создавался безмодульный исполняемый файл в случае ботнета Mayday? Одной из возможных причин могло быть желание разработчиков усложнить «чужакам» задачу редактирования, перенастройки и перепродажи центра управления. В любом случае анализ структуры серверного ПО Mayday дает основание предполагать, что такая серьезная разработка (код аккуратно причесан, созданная система классов универсальна) требует хорошо организованной команды разработчиков. Более того, для создания ПО Mayday-ботнета злоумышленникам, скорее всего, пришлось вести работу над двумя разными проектами: разработкой программ для Windows и для Linux.
Весной 2008 года «Лабораторией Касперского» не было зафиксировано ни одного нового образца Mayday-бота. Возможно, авторы вредоносной программы взяли таймаут, и Mayday-ботнет еще проявит себя в недалеком будущем.
Ботнет-бизнес
Ответ на вопрос, почему ботнеты продолжают развиваться и становятся все более актуальной проблемой, можно получить, оценив нынешнее состояние рынка ботнетов. Сегодня киберпреступникам, которые хотят построить ботнет, не нужны ни специальные знания, ни крупные денежные суммы. Подпольная ботнет-индустрия по сходной цене предоставляет желающим обзавестись ботнетом все необходимое: ПО, готовые сети и услуги по анонимному хостингу.
Заглянем на интернет-форумы, специализирующиеся на продаже нелегального софта и услуг, посмотрим, как работает ботнет-индустрия, обслуживающая хозяев зомби-сетей.
Первое, что необходимо для построения ботнета, – это сам бот, программа, позволяющая удаленно выполнять на компьютере пользователя некоторые действия без ведома пользователя. ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление и обратившись к тому, кто его разместил.
Рис. 4. Объявление о продаже бота и панели управления (перевод с русского)
Цены на боты варьируются от $5 до $1000, в зависимости от того, насколько распространен бот, детектируется ли он антивирусом, какие команды поддерживает и т.д.
Для построения простейшего веб-ориентированного ботнета необходимо иметь хостинговую площадку, где можно разместить центр управления. Любой желающий может купить такую площадку - вместе с услугами службы поддержки и возможностью анонимной работы с сервером (хостер, как правило, гарантирует недоступность файлов журнала для кого-либо, в том числе для «компетентных» органов). Объявлений, подобных приведенному ниже, на форумах в Интернете достаточно много.
Рис. 5. Предложение хостинг-услуг для построения ботнета
Когда площадка C&C построена, необходимы зараженные ботом машины. Желающие могут купить уже готовую сеть с «чужим» установленным ботом. Поскольку случаи кражи ботнетов в среде злоумышленников не редкость, покупатели, как правило, предпочитают заменить на собственные и вредоносную программу, и центр управления, получив гарантированный контроль над зомби-сетью. Для этого боту в купленной сети дают команду скачать и запустить новый бот (с новым адресом C&C) и самоудалиться. Тем самым «чужая» программа-бот заменяется на «свою», и ботнет начинает взаимодействовать с новым центром управления. Такая «перезагрузка» ботнетов является нелишней и с точки зрения их защищенности и анонимности: «старый» C&C и «старый» бот еще до продажи вполне могут попасть в поле зрения специалистов по компьютерной безопасности.
К сожалению, построить собственный ботнет также не составляет особого труда: для этого есть специальные средства. Самые популярные из них – программные пакеты, известные как MPack, IcePack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в программном обеспечении браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack. После срабатывания эксплойта браузер покорно загружает из Сети на компьютер пользователя исполняемый файл и запускает его. Таким файлом как раз и является программа-бот, которая подключает новый зомби-компьютер в ботнет и передает управление им злоумышленнику.
К сожалению, эти средства настолько доступны, что даже подростки с легкостью их находят и пытаются заработать на перепродаже.
Рис. 6. Объявление о продаже MPack, вывешенное 16-летним подростком
Любопытно, что ExploitPack изначально были разработаны русскими хакерами, однако нашли своих клиентов и в других странах. Эти вредоносные программы были локализованы (что свидетельствует об их коммерческом успехе на черном рынке) и теперь активно используются, например, в Китае.
Рис. 7. Оригинальная русская версия IcePack
Рис. 8. Локализованная китайская версия IcePack
Любая система тем популярнее и тем успешнее на киберкриминальном рынке, чем проще ее использовать. Это понимают и разработчики таких систем, поэтому для повышения популярности своих детищ и соответственно увеличения спроса на них разрабатывают простые механизмы установки и конфигурирования систем - будь то система для C&C или просто ExploitPack.
Так, например, установка командного центра, как правило, состоит из копирования файлов на сторону веб-сервера и обращения с помощью браузера к скрипту install.php. Значительно облегчает задачу наличие веб-интерфейса инсталлятора: киберпреступникам достаточно правильно заполнить поля веб-формы, чтобы командный центр был правильно сконфигурирован и начал работать.
Рис. 9. Веб-инсталлятор C&C
В киберкриминальном мире хорошо известно, что рано или поздно антивирусы начнут детектировать программу-бота. Как следствие, те зараженные машины, на которых стоит антивирус, для злоумышленников будут потеряны, а скорость заражения новых компьютеров значительно снизится. Есть несколько способов, с помощью которых хозяева ботнетов пытаются сохранить свои сети. Наиболее эффективный – защита вредоносной программы от детектирования с помощью специальной обработки исполняемого кода: киберкриминальный рынок предлагает широкий выбор услуг по его шифрованию, упаковке и обфускации.
Рис. 10. Предложение услуги по обработке программ для сокрытия кода от антивируса
Таким образом, все, что необходимо для успешного существования и развития ботнетов, есть в Интернете, и остановить развитие ботнет-индустрии пока невозможно.
Заключение
На сегодняшний день ботнеты являются одним из основных источников нелегального заработка в Интернете и грозным оружием в руках злоумышленников. Ожидать, что киберпреступники откажутся от столь эффективного инструмента, не приходится, и эксперты по безопасности с тревогой смотрят в будущее, ожидая дальнейшего развития ботнет-технологий.
Опасность ботнетов усугубляется тем, что их создание и использование становится все более простой задачей, с которой в ближайшем будущем будут в состоянии справиться даже школьники. А цены на развитом и структурированном ботнет-рынке весьма умеренные.
В построении интернациональных ботнетов могут быть заинтересованы не только киберпреступники, но и государства, готовые использовать зомби-сети как инструмент политического давления. Кроме того, возможность анонимно управлять зараженными машинами вне зависимости от их географического нахождения позволяет провоцировать конфликты между государствами: достаточно организовать кибератаку на серверы одной страны с компьютеров другой.
Сети, объединяющие ресурсы десятков, сотен тысяч, а порой и миллионов зараженных машин, обладают очень опасным потенциалом, который (к счастью!) пока не использовался в полном объеме. Между тем, вся эта грозная кибермощь опирается на инфицированные компьютеры домашних пользователей. Именно они составляют подавляющее большинство зомби-машин, и именно их злоумышленники используют в своих целях.
Если вы вспомните десять своих друзей и знакомых, у которых есть компьютеры, то, скорее всего, один из них является владельцем машины, входящей в какую-либо зомби-сеть. А может быть, это именно ваш компьютер?!
