Ботнеты за последние 10 лет прошли эволюцию от небольших сетей, состоящих из десятка компьютеров и управляемых из одного C&C, до сложных распределенных систем с децентрализованным управлением, в которые включены миллионы машин. Для чего же создаются эти огромные зомби-сети? Если быть краткими, то можно все уместить в одном слове — деньги.
Ботнет или зомби-сеть — это сеть компьютеров, зараженных вредоносной программой, позволяющей злоумышленникам удаленно управлять зараженными машинами без ведома пользователей. Зомби-сети стали стабильным источником дохода для целых групп киберпреступников. Неизменно низкие издержки и все меньшие знания, необходимые для управления ботнетами, способствуют росту популярности, а значит, и количества ботнетов.
С чего же все начинается? Что делать злоумышленнику, которому нужен ботнет? Возможностей у него много, и они зависят от его квалификации. К сожалению, тому, кто решил с нуля организовать ботнет, найти в интернете соответствующую инструкцию не составит особого труда.
Можно создать новую зомби-сеть. Для этого нужно заразить компьютеры пользователей специальной программой – ботом. Ботами называют вредоносные программы, занимающиеся объединением пораженных компьютеров в ботнеты. Если у желающего начать «бизнес» нет навыков программирования, то всегда можно найти на форумах объявления о продаже ботов. Там же можно заказать обфускацию и шифрование кода этих программ для обеспечения их защиты от детектирования антивирусными средствами. Кроме того, можно угнать уже существующий ботнет.
Следующий шаг злоумышленника — заражение вредоносной программой-ботом компьютеров пользователей. Для этого используются спам-рассылки, постинг сообщений на форумах и в социальных сетях, drive-by загрузки или же сам бот наделяется функцией самораспространения, как все вирусы или черви.
При заказе спам-рассылок, при постинге сообщений на форумах и в социальных сетях, чтобы заставить потенциальную жертву установить бот, используются различные приемы социальной инженерии. Например, предлагается посмотреть интересное видео, для чего требуется скачать специальный кодек. После загрузки и запуска такого файла, пользователь, конечно, не сможет посмотреть никакого видео и, скорее всего, не заметит вообще никаких изменений, а компьютер окажется заражен. Вот так незаметно компьютер пользователя становится покорным слугой, выполняющим все команды хозяина ботнета.
Вторым широко используемым методом является drive-by-download, т.е. незаметная загрузка вредоносной программы. Суть этого метода сводится к тому, что при посещении пользователем зараженной веб-страницы на его компьютер, через различные уязвимости в приложениях, прежде всего в популярных браузерах, загружается вредоносная программа. Для эксплуатации уязвимостей используются специальные программы — эксплойты, позволяющие не только незаметно загрузить, но и незаметно запустить вредоносную программу. В случае успешной атаки, у пользователя даже не возникнет подозрения, что с компьютером происходит что-то неладное. Такой вид распространения вредоносного ПО наиболее опасен, ведь если взломан популярный ресурс заражаются десятки тысяч пользователей!
Рис.1 Приманка для пользователя. (Fake Youtube)
Бот можно наделить и функцией самораспространения по компьютерным сетям. Например, бот может распространяться, путем заражения всех доступных исполняемых файлов или путем поиска и заражения уязвимых компьютеров сети. Примерами таких ботов могут быть представители семейств Virus.Win32.Virut и Net-Worm.Win32.Kido. Первый из них является полиморфным файловым инфектором, а второй – сетевым червем. Эффективность такого подхода трудно переоценить: на сегодняшний день зомби-сеть, построенная Kido, является самой большой в мире.
Зараженные компьютеры ничего не подозревающих пользователей создатель ботнета может контролировать с помощью командного центра ботнета, связываясь с ботами через IRC-канал, web-соединения или с помощью любых других доступных средств. Достаточно объединить в сеть несколько десятков машин, чтобы ботнет начал приносить доход своему хозяину. Причем этот доход находится в линейной зависимости от устойчивости его зомби-сети и темпов ее роста.
Как зарабатывают деньги владельцы ботнетов
Каким же образом владельцы ботнетов зарабатывают деньги с помощью зараженных компьютеров? Здесь можно выделить несколько основных направлений: DDoS-атаки, сбор конфиденциальной информации, рассылка спама, фишинг, поисковый спам, накрутка кликов, загрузка рекламных и вредоносных программ. Надо заметить, что прибыльно любое направление, какое бы злоумышленник ни выбрал. К тому же — зачем выбирать? Ботнет позволяет осуществлять все эти виды деятельности… одновременно!
DDoS-атаки
Многие исследователи полагают, что DDoS-функционал был реализован еще в самых первых ботнетах. DDoS-атака — атака на компьютерную систему, целью которой является доведение системы до отказа в обслуживании, когда она больше не может принимать и обрабатывать запросы легитимных пользователей. Один из самых распространенных методов проведения атаки — отправка многочисленных запросов на компьютер-жертву, что и приводит к отказу в обслуживании, если ресурсы атакуемого компьютера недостаточны для обработки всех поступающих запросов. DDoS-атаки являются грозным оружием хакеров, а ботнет — идеальным инструментом для их проведения. DDoS-атаки могут быть как средством недобросовестной конкурентной борьбы, так и проявлением кибертерроризма.
Хозяин ботнета может оказать любому не слишком щепетильному предпринимателю такую услугу: провести DdoS-атаку на сайт его конкурента. Сайт конкурента после такой нагрузки ляжет, а киберпреступник получит скромное (или не очень) вознаграждение. Таким же образом сами владельцы ботнетов могут использовать DdoS-атаки для вымогания денег у крупных компаний. При этом компании предпочитают выполнять требования киберпреступников, поскольку ликвидация последствий удачных DDoS-атак обходится еще дороже. В январе 2009 года атака на один из крупнейших хостеров godaddy.com привела к тому, что несколько тысяч сайтов, размещенных на серверах компании, были недоступны почти сутки. Что это было? Незаконный ход другого популярного хостера в борьбе за место под солнцем, или хостер Go Daddy подвергся шантажу со стороны киберпреступников? Оба варианта видятся нам вполне вероятными. Кстати, в ноябре 2005 года этот же хостер подвергся аналогичной атаке, только в том случае сервис был недоступен всего лишь час. Повторная атака была куда более грозной, что в первую очередь обусловлено ростом ботнетов.
В феврале 2007 года был проведен ряд атак на корневые DNS-серверы, от работы которых напрямую зависит нормальное функционирование всего интернета. Маловероятно, что целью этих атак было обрушение интернета, ведь существование зомби-сетей возможно только при его наличии. Больше всего это было похоже на демонстрацию силы и возможностей зомби-сетей.
Реклама услуг по осуществлению DDoS-атак открыто размещена на многих форумах по соответствующей теме. А теперь заглянем в прайс-лист. Цены на атаки колеблются от $50 до нескольких тысяч долларов за сутки непрерывной работы DDoS-ботнета. Разброс цен понятен и обоснован. С задачей на один день остановить продажи в скромном, незащищенном интернет-магазине конкурента справится и относительно небольшой ботнет (компьютеров так в 1000), что обойдется нарушителю закона в относительно небольшую сумму. Совсем другая цена вопроса, если конкурент — это крупная международная компания с защищенным сайтом, на успешную DDoS-атаку которого требуются силы куда большего числа зомби-машин. Тут уж придется раскошелиться.
По данным shadowserver.org, за 2008 год было проведено порядка 190 тысяч DDoS-атак, на которых киберпреступники смогли «заработать» около 20 млн. долларов. Естественно, в этой оценке не учитываются доходы от шантажа, которые просто невозможно подсчитать.
Сбор конфиденциальной информации
Конфиденциальная информация, которая хранится на компьютерах пользователей, всегда будет привлекать злоумышленников . Наибольший интерес представляют номера кредитных карт, финансовая информация и пароли к различным службам: e-mail, ftp, IM-мессенджерам и др. При этом современные вредоносные программы позволяют злоумышленникам выбирать именно те данные, которые им нужны — для этого достаточно загрузить на зараженный компьютер соответствующий модуль.
Злоумышленники могут либо продать украденную информацию, либо использовать ее в своих интересах. На андеграунд-форумах каждый день появляются сотни объявлений о продаже банковских учетных записей. Стоимость учетной записи зависит от количества денег на счету пользователя и составляет от 1 до 1500 долларов за счет. Нижняя граница свидетельствует о том, что в ходе конкурентной борьбы киберпреступники, занимающиеся такого рода бизнесом, вынуждены снижать цены. Чтобы заработать действительно много, им необходим стабильный приток свежих данных, обусловленный прежде всего стабильным ростом зомби-сетей.
Особенно интересна финансовая информация кардерам — людям, занимающимся подделкой банковских карт. Насколько выгодны такие операции, можно судить по известной истории с группой бразильских киберпреступников, которые были арестованы два года назад. Они смогли снять с банковских счетов 4,74 миллиона долларов, используя украденную с компьютеров информацию.
В приобретении полных пакетов персональных данных, содержащих полное имя и фамилию, информацию о банковском счете, дату рождения, место жительства, SSN и так далее вплоть до девичьей фамилии матери заинтересованы преступники, которые занимаются подделкой документов, открытием фальшивых банковских счетов, совершением незаконных сделок и т.д.
Стоимость украденных персональных данных напрямую зависит от страны, в которойживет их законный владелец. Например, полные данные жителей США стоят 5-8 долларов. На черном рынке особенно ценятся данные жителей Евросоюза — они стоят в два-три раза дороже данных жителей США и Канады. Это можно объяснить тем, что такими данными преступники могут пользоваться в любой стране, входящей в ЕС. В среднем по миру цена полного пакета данных об одном человеке составляет порядка $7.
Еще одним видом собираемой ботнетами информации являются e-mail адреса. Причем в отличие от номеров кредиток и учетных записей, с одного зараженного компьютера можно собрать множество электронных адресов. Собранные адреса затем выставляются на продажу, причем иногда «на развес» — помегабайтно. Основными покупателями, разумеется, являются спамеры. Один такой список из миллиона e-mail адресов стоит от 20 до 100 долларов, а рассылка, заказанная спамерам на этот же миллион адресов, стоит 150-200 долларов. Выгода очевидна.
Преступникам также интересны учетные записи различных платных сервисов и интернет-магазинов. Безусловно, они стоят дешевле банковских учетных записей, но их реализация связана с меньшим риском преследования со стороны правоохранительных органов. Например, учетные ззаписи популярного онлайн-магазина Steam с десятью играми продаются по 7-15 долларов/учетная запись.
Рис.3 Объявление на форуме о продаже учетных записей Steam
Фишинг
Создание фишинговых сайтов поставлено на поток, однако нужны средства для защиты сайта от закрытия. И здесь приходят на помощь зомби-сети, обеспечивающие функционирование технологии Fast-flux. Она позволяет оперативно, раз в несколько минут, менять IP-адреса сайтов, сохраняя доменное имя, тем самым продлевая период их жизни, затрудняя их обнаружение и отключение. Идея заключается в использовании домашних компьютеров, попавших в зомби-сеть, в качестве веб-серверов с фишерским контентом. Fast-flux позволяет успешней, чем прокси-серверы, скрывать поддельные веб-сайты в Сети.
Так, известная группировка фишеров Rock Phish сотрудничает с операторами ботнета Asprox. В середине прошлого года «рок-фишеры», ответственные за половину фишинговых атак в интернете, из-за которых пользователи онлайн-банкинга потеряли миллионы долларов, модернизировали свою инфраструктуру под использование fast-flux. На это у них ушло порядка пяти месяцев, и все было сделано на профессиональном уровне. При этом фишеры не создавали свою собственную fast-flux сеть, а воспользовались готовым решением, купив его у владельцев Asprox.
За FastFlux-хостинг преступники, большей частью фишеры, платят владельцам ботнетов $1000-2000 в месяц.
Средний доход от фишинга сопоставим с доходом от кражи конфиденциальных данных с помощью вредоносных программ и исчисляется миллионами долларов в год.
Спам
Ежедневно по всему миру рассылаются миллионы спам-сообщений. Рассылка незапрошенной почты является одной из основных функций современных ботнетов. По данным «Лаборатории Касперского», порядка 80% всего спама рассылается через зомби-сети.
С компьютеров законопослушных пользователей отправляются миллиарды писем с рекламой виагры, реплик часов, онлайн-казино, забивающих каналы связи и почтовые ящики.Таким образом под удар хакеры ставят компьютеры ни в чем не повинных пользователей: адреса, с которых ведется рассылка, оказываются занесенными в списки запрещенных у антивирусных компаний.
В последние годы сама сфера спам-услуг расширилась: появился ICQ-спам, спам в социальных сетях, форумах, блогах. И это тоже «заслуга» владельцев ботнетов: ведь совсем несложно дописать дополнительный модуль к бот-клиенту, открывающий горизонты для нового бизнеса со слоганами типа «Спам в Facebook. Недорого».
Цены на спам варьируются в зависимости от целевой аудитории и количества адресов, на которые ведется рассылка. Разброс цен на целевые рассылки – от 70 долларов за сотни тысяч адресов до 1000 долларов за несколько десятков миллионов адресов.
За прошедший год спамеры заработали на рассылке писем порядка $780 000 000. Впечатляющая сумма за нежелательную рекламу, не правда ли?
Поисковый спам
Еще один вариант использования ботнетов — поисковая оптимизация. Работая над поисковой оптимизацией, веб-мастера стараются повысить позицию сайта в результатах поиска, поскольку чем она выше, тем больше посетителей придет на сайт через поисковые системы.
Поисковики учитывают несколько факторов при оценке релевантности сайта. Одним из главных параметров является количество ссылок на сайт с других страниц или доменов. Чем больше таких ссылок, тем выше рейтинг сайта с точки зрения поискового робота. Также на рейтинг влияют слова, из которых состоит ссылка, например, ссылка «покупайте наши компьютеры» будет иметь больший вес по запросу «купить компьютер».
Сам по себе SEO-бизнес (Search Engine Optimization) является лакомым кусочком. Многие компании платят кучу денег веб-мастерам, чтобы они вывели сайт в поисковиках на первые позиции. Владельцы ботнетов подсмотрели некоторые приемы и автоматизировали процесс поисковой оптимизации.
Поэтому когда вы видите в комментариях к своей любимой записи в «живом журнале» или удачной фотографии, выложенной на каком-либо сайте, множество ссылок, созданных неизвестным человеком, а иногда и вашим другом — не удивляйтесь, просто кто-то заказал раскрутку своего ресурса хозяевам ботнета. Специально созданная программа загружается на зомби-компьютер и от имени его владельца оставляет комментарии на популярных ресурсах со ссылками на раскручиваемый сайт.
Средняя цена на нелегальные услуги поискового спама — порядка $300 в месяц.
Установка рекламных и вредоносных программ
Представьте, что вы спокойно читаете в интернете свой любимый журнал об автомобилях, как вдруг появляется всплывающее окно, где вам предлагают купить оригинальные аксессуары для авто. Вроде бы ничего плохого, и, может быть, вы даже не против их купить, однако вы точно помните, что никакую программу для поиска нужных (и ненужных) вам вещей вы не устанавливали. За ответом далеко ходить не нужно — о вас уже «позаботились» владельцы ботнета.
Множество компаний, предоставляющих услуги по онлайн-рекламе, платят за каждую инсталляцию своего ПО. Обычно это не очень большие деньги — от 30 центов до 1,5 долларов за каждую установленную программу. Однако когда в руках злоумышленника есть ботнет, он может несколькими нажатиями на кнопку мыши поставить любое ПО сразу на тысячи компьютеров и заработать серьезную сумму. Известный киберпеступник Д.К.Шайфер, осужденный в 2007 году, используя ботнет более чем из 250 000 машин, всего за месяц смог «заработать» более 14 тысяч долларов на установке рекламного ПО на 10 тысяч компьютеров.
Представители киберкриминального бизнеса, распространяющие вредоносные программы, часто работают по аналогичной схеме, выплачивая деньги за каждую установку своего софта. Такой вид сотрудничества преступников получил название «партнерка». Установка программ на компьютеры пользователей разных стран оплачивается фирмами по-разному. Например, за установку вредоносной программы на тысячу компьютеров в Китае в среднем платят 3 доллара, а в USA — 120 долларов. Это вполне объяснимо, ведь у пользователей развитых стран можно украсть куда более ценную, точнее более «денежную», информацию.
Накрутка кликов
Рекламные компании, работающие онлайн по схеме PPC (Pay-per-Click), платят деньги за уникальные клики по объявлениям. Для владельцев ботнета обман таких компаний является вполне прибыльным занятием.
Для примера можно взять известную сеть Google AdSense. Рекламодатели платят Google за клики по размещенным объявлениям, в надежде, что заглянувший пользователь у них что-нибудь купит.
Google в свою очередь размещает контекстную рекламу на различных сайтах, участвующих в программе AdSense, платя процент с каждого клика владельцу сайта. Увы, не все владельцы сайтов честные. Так, имея зомби-сеть, хакер может генерировать тысячи уникальных кликов в день — по одному с каждой машины, чтобы не вызывать особых подозрений у Google. Таким образом деньги, потраченные на рекламную компанию, перетекают в карман к хакеру. Увы, не было еще ни одного случая, когда кого-либо привлекали к ответственности за подобные вещи.
По данным Click forensics в 2008 году порядка 16-17% всех переходов по рекламным ссылкам были поддельными, из них одна треть генерировалась ботнетами. Выполнив несложные вычисления, можно понять, что в прошлом году владельцы ботнетов «накликали» 33 000 000 долларов. Неплохой доход просто от щелчков мышью!
Аренда и продажа ботнетов
Теперь поговорим об очень занятых хозяевах ботнетов.
Всемирно известная формула Маркса «товар–деньги–товар» для владельцев больших зомби-сетей превращается в «ботнет–деньги–ботнет». И правда, для поддержания ботнета на плаву, обеспечения притока новых зомби, защиты от детектирования ботов антивирусными программами и обнаружения C&C требуются как финансовые вложения, так и временные затраты со стороны хакера. Ему уже просто некогда самому рассылать письма, что-то инсталлировать, красть и заниматься продажей информации. Проще сдать ботнет в аренду или продать его, благо желающих хоть отбавляй.
Аренда почтового ботнета со скоростью рассылки порядка 1000 писем в минуту (при 100 находящихся онлайн зомби-машинах) стоит порядка 2000 долларов в месяц. Стоимость готового ботнета, так же как и аренда, зависит от количества зараженных компьютеров. Наибольшей популярностью готовые ботнеты пользуются на англоговорящих форумах. Маленькие ботнеты из нескольких сотен ботов стоят от $200 до $700, средняя цена составляет $0,5 за один бот. Большие ботнеты уходят совсем за другие деньги. Сеть Shadow, которая была создана 19-летним хакером из Голландии и насчитывала более 100 тысяч компьютеров, расположенных по всему миру, продавалась за 25 000 евро или 37 290 долларов. За эти деньги можно купить небольшой домик в Испании, однако преступник из Бразилии предпочел ботнет.
Заключение
Ежедневно космические суммы оседают в карманах тех, кто занимается ботнетами. Борьба с этим бизнесом ведется всеми возможными способами, однако на уровне законов она ведется крайне неэффективно. Практика применения законов о спаме, о создании и распространении вредоносных программ, о взломе компьютерных сетей существует не во всех странах, если вообще такие законы приняты. Хозяев или создателей ботнетов, представших перед законом, можно по пальцам пересчитать. Реально функционирующие в интернете ботнеты по пальцам уже не сосчитаешь — их количество уже превысило 3600. На самом деле подсчет количества функционирующих ботнетов является нетривиальной задачей, ведь существует несколько десятков крупных ботнетов, деятельность которых не заметить просто невозможно, имножество ботнетов поменьше, обнаружить и разделить которые достаточно сложно.
На данный момент более эффективной видится борьба с ботнетами при тесном взаимодействии антивирусных экспертов, ISP и правоохранительных органов. Результатом такого взаимодействия стало закрытие трех компаний: EstDomains, Atrivo и McColo. Заметим, что закрытие компании McColo, на серверах которой располагались командные центры нескольких крупнейших спам-ботнетов, привело к двукратному уменьшению количества спама в интернете.
Эксперты следят за тысячами ботнетов, антивирусные продукты детектируют и уничтожают боты по всему миру, но только у правоохранительных органов есть возможность остановить деятельность командных центров и поймать преступников, и тем самым «выключить» ботнеты надолго. Упомянутое закрытие McColo дало кратковременный эффект — через несколько недель поток спама начал возвращаться на свой обычный уровень. Владельцы ботнетов перевели командные центры на площадки других хостинг-провайдеров и продолжили заниматься «бизнесом», как ни в чем не бывало. Требуется постоянная работа, а не разовые проверки. Увы, срубить одну голову недостаточно!
Без помощи со стороны пользователей борьба не может быть эффективной. Ведь именно домашние компьютеры составляют большую часть армии ботнетов. Пренебрежение простыми правилами безопасности, такими как использование антивирусного ПО, установка стойких паролей для учетных записей, отключение автозапуска файлов со съемных носителей, может привести к тому, что и ваш компьютер станет рядовым членом ботнета, отдав в руки злоумышленников ваши данные и свои ресурсы. Зачем же помогать киберпреступникам?
Экономика ботнетов