Ботнет.

КОМПЬЮТЕРЫ ДОМАШНИХ ПОЛЬЗОВАТЕЛЕЙ – ЛАКОМЫЙ КУСОК ДЛЯ ЗЛОУМЫШЛЕННИКОВ, ПОСКОЛЬКУ ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО ТАКИХ СИСТЕМ РАБОТАЕТ ПОД УПРАВЛЕНИЕМ MICROSOFT WINDOWS И ЧАСТО НЕ ОБНОВЛЯЕТСЯ ВОВРЕМЯ (ЕСЛИ ОБНОВЛЯЕТСЯ ВООБЩЕ)

Распространено мнение, что, по крайней мере, каждый второй домашний компьютер, подключенный к интернету, состоит сегодня в какой-либо бот-сети. Это не означает, что бот-сеть обязательно действующая: многие сети могут находиться в «ждущем режиме». Но факт остается фактом — машина заражена и подобно «спящему вулкану» таит в себе потенциальную угрозу как для своего владельца, так и для других машин в Сети. Однако не только домашние пользователи приняли на себя удар: порядка 40% бот-сетей принадлежит корпоративным сетям больших и средних компаний. В списке пострадавших уже находятся такие крупные компании как Caterpillar, CNN, eBay и Microsoft. И угроза распространения зомби-сетей постоянно растет. Количество новых штаммов (разновидностей) бот-вирусов только за 2005 год увеличилось на 538%.

Неудивительно, что именно бот-сети являются основными центрами притяжения крупных финансовых потоков теневого виртуального рынка. Особый интерес для умельцев представляют машины, имеющие высокоскоростное подключение к Сети, потому как с их помощью гораздо проще и эффективнее организовать атаку на другие сетевые ресурсы. Противодействовать такому массовому распространению бот-сетей крайне сложно. Крупную сеть из «компьютеров-зомби» можно создать за неделю-две. А на ее обнаружение и нейтрализацию могут потребоваться месяцы работы. Выйти же на владельца бот-сети — еще более трудновыполнимая задача.

Угроза со стороны бот-сетей постоянно растет. Каждый день инфицируется до 250000 компьютеров, которые превращаются в новых зомби. По статистике, в Сети постоянно зараженными каким-либо видом вируса являются около 7% компьютеров, это около 47 миллионов из 681 миллиона подключенных к Сети компьютеров по всему миру. По данным антивирусной компании McAfee, в 2005 году в интернете была зафиксирована деятельность 28 тысяч бот-сетей - это в три раза больше, чем в 2004 году. Потери только американских компаний от преступлений в компьютерной сфере составили 197 миллиардов долларов, и львиная доля здесь принадлежит бот-сетям...

Механизмы распространения ботов

Злоумышленник может изменять и комбинировать любые из перечисленных ниже техник распространения ботов.

Через веб и электронную почту

Различные веб-сайты, намеренно или без злого умысла, содержат в себе вредоносный код, который загружается на машину пользователя в момент загрузки сайта. Что касается распространения исполняемых бот-файлов по электронной почте – то это наиболее удобный и быстрый способ распространения. Широкое распространение спам-рассылок обеспечивает этому способу «массовый охват».

Загрузка программного обеспечения из непроверенных источников

Очень часто заражение происходит при загрузке программного обеспечения из подозрительных и неизвестных источников. Особенно это касается различных бесплатных утилит, которые в нередких случаях пишутся самими же злоумышленниками, которые затем используют их в качестве приманки. Так, например, клиентская часть некоторых P2P-сетей загружается вместе со шпионским и рекламным программным обеспечением.

Использование уязвимостей в системах

В первых двух вариантах предполагается непосредственное участие пользователя. То есть, теоретически, продвинутый пользователь, обладающий здоровой долей паранойи, может счастливо избежать заражения при помощи таких техник. Тогда на помощь злоумышленникам приходят другие методы, которые не требуют от владельца машины никаких действий. В практически любой компьютерной системе есть хотя бы одна уязвимость, которая может быть использована для загрузки на машину троянской программы, бота или другого вредоносного ПО. Злоумышленник может производить сканирование выбранного диапазона IP-адресов как вручную, так и при помощи автоматизированных средств. Автоматическое сканирование Сети с целью поиска машин с какой-либо конкретной уязвимостью помогло таким всем известным вирусам, как CodeRed, Mydoom и Sql Slammer распространиться и заразить миллионы компьютеров. Для распространения исполняемых бот-файлов используются те же самые методы. Если ты посмотришь на топ-20 самых распространенных угроз, то увидишь, что порядка 30% этих угроз составляют вредоносные программы для создания бот-сетей (MYTOB, BKDR_IRCBOT, PERL_SHELLBOT и другие).

Командование армией

Обычно для организации бот-сети используются IRC-канал или P2P-сеть. Наиболее популярным и простым средством для организации бот-сети является IRC (Internet Relay Chat). Это довольно популярная чат-система, работающая по принципу клиент-серверной модели. IRC-сервер позволяет подключенным клиентам общаться, используя IRC-протокол, как через сервер, так и устанавливать соединение напрямую.

Управление бот-сетью

Исполняемая часть бота настраивается для входа в предопределенные каналы IRC.

Использование бот-сетей

Размеры ботнетов могут быть самыми разными.

В среднем размер зомби-сети варьируется от нескольких сотен до нескольких тысяч машин. Но известны также бот-сети размером 30, 50 тысяч машин и более. Есть данные о бот-сети (Phatbot), объединяющей 400 тысяч (!) машин.

Какой трафик может генерировать бот-сеть? Если взять бот-сеть из 1000 машин с полосой пропускания порядка 128 Кбит/сек, то нетрудно посчитать, что все вместе эти компьютеры в состоянии генерировать трафик более 100 Мбит/сек. Более крупной бот-сети достаточно меньшей пропускной способности каждого канала в отдельности. Сеть из 50000 машин со скоростью подключения 50 Кб/сек может генерировать трафик до 300 Мб/сек.

Механизмы, которые бот-сети используют для распространения – одна из главных причин фонового «шума» в интернете, особенно на 445 и 135 tcp-портах. Таким образом производится поиск новых уязвимых машин, чтобы присоединить их к бот-сети.

Бот-сеть – это инструмент, использующийся наиболее часто в качестве инструмента для получения денег (прямо или косвенно). Наиболее распространенные способы использования действующих бот-сетей выглядят следующим образом.

DDoS-атака

Организация этого вида атаки – пожалуй, самый распространенный вид использования бот-сетей. Атака может реализовываться при помощи отправки больших ICMP или SYN-пакетов в Сеть, либо просто большого количества обычных http и ftp-запросов к серверу. Причины, по которым обычно затеваются DDoS-атаки, могут быть различными: шантаж, вымогательство, нечестная конкурентная борьба и т.д. DDoS-атаки не обязательно бывают направлены только на веб-серверы: любой интернет-сервис может быть уязвим к этому типу нападения.

Создание цепи SMTP relay

Некоторые боты открывают SOCKS proxy на зараженном хосте, что позволяет осуществить доступ через прокси-сервер (с целью маскировки следов). Такая машина может использоваться для рассылки спам-сообщений. Иногда зараженные машины, составляющие бот-сеть, используются для хостинга фишинговых сайтов, усложняя процедуру выслеживания мошенников.

Прослушивание трафика

В бот-сетях также могут использоваться снифферы, позволяющие отслеживать данные, передаваемые по незащищенному каналу (clear-text data) и проходящие через зараженную машину. Как правило, целью применения снифферов является получение имен пользователей и паролей. Кроме того, с их помощью можно получить интересную информацию другого рода. Часто бывает так, что зараженная машина является частью не одного, а двух или даже более ботнетов. В этом случае сниффер позволяет собирать информацию о «конкуренте».

DDoS в аренду

Цифры могут довольно сильно варьироваться, но чаще встречается примерно 100$ за час DDoS-атаки, организованной при помощи зомби-сети из 10000 машин (www.spamdailynews.com/publish/Organized_crime_offers_rent-a-zombie_deals.asp).

Кража номеров счетов, включая номера кредитных карт и других финансовых данных

Если верить данным FTC (Федеральная торговая комиссия США), то средняя стоимость кражи идентификационных данных составляет порядка 4800$ для компании и 500$ для отдельно взятого индивидуума (www.ftc.gov/opa/2003/09/idtheft.htm). Вряд ли имеет смысл высчитывать среднюю прибыль, которую может получать мошенник от использования украденной информации. Это зависит и от квалификации мошенника, и от того, насколько далеко он готов зайти в погоне за прибылью. Как правило, номера кредитных карт используются злоумышленниками не для обналичивания средств, а для оплаты услуг через интернет (например, хостинга). Часто это делается через подставное лицо.

Спам-рассылка

Средняя стоимость спам-рассылки в России составляет от 100 до 200$ (это охват базы примерно в 150000 электронных адресов). Особо ценятся «незасветившиеся» IP-адреса, которые пока не помещены в «черный список», поскольку отдача от рассылок с таких «чистых» адресов гораздо выше.

Программы дозвона

Многие по-прежнему используют dial-up для доступа в интернет. Такой вид связи - низкоскоростной и вряд и может быть полезен для организации DDoS-атаки, но и из него, при желании, можно извлечь прибыль. В данном случае номер дозвона может подменяться на телефон какой-либо платной службы, а прибыль здесь зависит от оперативности обнаружения «неполадок» с дозвоном и тарифа на звонки в эту службу.

Генерация пользовательского трафика

Стоимость услуг по генерации пользовательского трафика составляет примерно $150 за 1000 загрузок. В этом случае бот-сеть получает команду выполнить 1000 раз загрузку некого html-файла после предварительного тематического запроса в интернет (в каталоги или поисковую систему). Это дает пользовательский трафик, который можно использовать для повышения индекса цитируемости сайта в поисковых системах или получения средств за просмотр рекламных баннеров в случае оплаты за показ.

КОЛИЧЕСТВО НОВЫХ РАЗНОВИДНОСТЕЙ БОТ-ВИРУСОВ ТОЛЬКО ЗА 2005 ГОД УВЕЛИЧИЛОСЬ НА 538%
КАЖДЫЙ ДЕНЬ ИНФИЦИРУЕТСЯ ДО 250000 КОМПЬЮТЕРОВ, КОТОРЫЕ ПРЕВРАЩАЮТСЯ В НОВЫХ ЗОМБИ
САМЫЙ РАСПРОСТРАНЕННЫЙ ВИД ИСПОЛЬЗОВАНИЯ БОТ-СЕТЕЙ — ОРГАНИЗАЦИЯ DDOS-АТАКИ
СРЕДНЯЯ СТОИМОСТЬ СПАМ-РАССЫЛКИ В РОССИИ СОСТАВЛЯЕТ ОТ 100 ДО 200$

Источник: http://www.xakep.ru/

2 0 17