Публикации

Экосистема ботнетов

С появлением ботнетов злоумышленники получили доступ к миллионам зараженных компьютеров пользователей, а число киберпреступлений увеличилось в сотни раз. Большинство пользователей интернета осознают, какую опасность представляют зомби-сети, однако далеко не все знают, что способствует их развитию.

Ботнеты являются основой киберкриминального бизнеса, связующим звеном между его различными частями. Чтобы разобраться в этом, совсем необязательно проводить технически сложные исследования: деловое общение киберпреступников происходит в Сети, и многое можно понять, посетив сайты, на которых это общение происходит.

Наиболее популярны ботнеты среди киберпреступников из России, поэтому большинство владельцев ботнетов общаются в Рунете. Поэтому тексты на скриншотах в данной статье ‑ на русском языке (переводы приведены под скриншотами).

Поставщики киберкриминальных услуг

Как и во всяком хорошо развитом бизнесе, в бизнесе киберкриминальном существует специализация. Поиск в Сети мы начнем с поиска веб-ресурсов, на которых предлагаются киберкриминальные товары/услуги. Основные потребители такого рода товаров и услуг — владельцы ботнетов.

Разработка вредоносного кода

Львиная доля всех преступлений в интернете прямо или косвенно связана с вредоносными программами — всевозможными вирусами, троянскими программами, сетевыми червями и приложениями для атаки удаленных компьютеров через компьютерную сеть. Пожалуй, вредоносный код является главным инструментом злоумышленника при совершении киберпреступления.

Основными заказчиками разработчиков вредоносных программ являются владельцы ботнетов, которые используют эти программы не только для создания зомби-сетей, но и для сбора с зараженных машин конфиденциальных данных, рассылки спама, превращения зараженных компьютеров в прокси-серверы, распространения поддельных антивирусов и рекламных программ.

Разработчики вредоносных программ и владельцы ботнетов повязаны одной веревочкой, они понимают, что успех зависит от результата их сотрудничества. Владелец крупного ботнета постоянно нуждается в новых вредоносных программах, а разработчик — в постоянном и надежном клиенте.

Найти сегодня в интернете людей, разрабатывающих вредоносный код под заказ, несложно — они публикуют свои предложения на общедоступных хакерских интернет-форумах. На таких форумах промышляют киберпреступники, а иногда просто мошенники. Называя себя хакерами, такие люди вводят в заблуждение пользователей, которые приходят к выводу, что хакер — это всегда преступник.

Вот одно из типичных для хакерских форумов объявлений:

Пользователь, разместивший это объявление, предлагает разработать троянскую программу с любым функционалом, нужным заказчику. Дополнительно к разработке он предлагает приобрести программу типа Joiner, которая позволяет внедрить произвольную вредоносную программу в исполняемый файл легального приложения.

Чаще всего умения завсегдатаев хакерских форумов хватает лишь на разработку программ, ворующих пароли. Однако кроме подобных форумов существуют и ресурсы, на которых общаются настоящие профессионалы. Как правило, это одиночки, которые посвятили себя изучению вопросов безопасности Windows и настолько глубоко изучили тонкости и детали Windows-систем, что без труда могли бы конкурировать с разработчиками из Microsoft. Не найдя достойного применения своим знаниям, они используют их для изготовления кибероружия. Такие киберпреступники создают действительно серьезные и сложные вредоносные программы, и для того чтобы обнаружить и удалить эти программы с зараженного компьютера, нужно обладать не менее глубокими знаниями. Технологии, используемые в их разработках, доставляют много хлопот и разработчикам антивирусных программ, и крупным провайдерам.

К счастью, авторами большинства объявлений о продаже вредоносных программ являются вирусописатели начального и среднего уровня, которые ищут клиентов. Как в любом деле, и тут находятся жулики. На многих таких объявлениях через некоторое время модераторы форума ставят отметку «кидала». Это говорит о том, что человек, разместивший объявление, кого-то успел обмануть, и модератор получил негативный отзыв о нем от одного из обманутых клиентов. Впрочем, чего ожидать от мелких преступников!

Именно потому, что возникла проблема доверия к поставщикам услуг и товаров, на киберкриминальном рынке появилась особая фигура, регулирующая отношения доверия, — так называемый гарант.

Гаранты

Задача гаранта — гарантировать получение услуг/товаров покупателем и денег продавцом. Основным свойством гаранта является независимость от обеих сторон, участвующих в сделке в интернете. Иногда гарант выполняет также проверку предлагаемых услуг или товаров на соответствие требованиям или заявленным качествам. Продавец программного кода или киберкриминального сервиса имеет гораздо больше шансов продать свой товар/услугу, если они прошли проверку у известного гаранта. Гаранты участвуют и в сделках купли/продажи ботнетов или их составляющих (например, ботов).

Гарантами, как правило, становятся модераторы популярных хакерских форумов. Процесс становления сервиса гарантов проходил в несколько этапов:от простых договоренностей на форумах между тремя знающими друг друга людьми до формального описания функций гаранта и условий заключения сделки в неком подобии юридического положения о работе гаранта.

Ниже приведены отрывки из такого положения, описывающие работу гаранта и оплату его услуг:

На сайтах, где действуют гаранты, можно найти перечень различных виртуальных услуг и товаров, предлагаемых киберпреступниками. Среди них присутствуют услуги, которые интересуют в том числе и владельцев ботнетов: шифрование и упаковка вредоносного кода, эксплойты для браузеров, трафик, хостинг.

Шифрование и упаковка вредоносного кода

Злоумышленникам для проведения успешной кибератаки не достаточно разработать или купить готовую вредоносную программу, поскольку как только программа начнет активно применяться, она тут же попадет в руки антивирусных компаний и будет задетектирована. Поэтому одним из популярных сервисов является шифрование или упаковка вредоносного кода. Это позволяет избежать детектирования исполняемого файла и при этом сохранить его функционал. В андеграунд-кругах такой сервис называется «крипта» (от английского «to encrypt», «шифровать»).

Иногда поставщики таких услуг предоставляют услугу по шифрованию конкретных семейств вредоносных программ. Это связано с тем, что у антивирусных компаний существуют эвристики на отдельные семейства, которые обмануть сложнее, чем сигнатурное детектирование.

В приведенном выше объявлении автор предлагает шифрование бота, известного как Зевс (Zeus), а также шифрование любого другого вредоносного кода. Шифрование Zeus стоит дороже, поскольку является эксклюзивным и популярными программами по шифрованию исполняемых файлов тут не обойтись.

Эксплойты для браузеров

Эксплойты всегда были горячей темой, и популярность у злоумышленников систем типа ExploitPack продолжает расти. Такие системы позволяют незаметно заразить компьютер посетителя веб-сайта, использующего необновленное программное обеспечение. Атакуется при этом браузер и его компоненты (такие как Adobe Flash и др.)

Если раньше ExploitPack продавались как продукт, не требующий «сервиса», то теперь покупатель хочет получать поддержку и обновление системы.

Появление новых эксплойтов вызывает новую волну интереса к таким системам и может привести к росту цен на них. Именно это произошло в конце 2008 года: на приведенном ниже скриншоте разработчик системы ExploitPack повышает ее стоимость с $400 до $500 в связи с включением в систему эксплойта для новой уязвимости, обнаруженной в Microsoft Internet Explorer 7.

«Трафик»

«Трафиком» в андеграунд-кругах называются запросы от пользователей, перенаправленные со взломанных легальных веб-ресурсов на сайты злоумышленников. Другой способ пополнения «трафика» — это переход пользователей по ссылкам в спаме: рассылку организуют сами злоумышленники, а ссылки ведут на их сайты. Рассылка производится по электронной почте или каналам служб мгновенного обмена сообщениями (например, ICQ).

Доступ к веб-сайтам злоумышленники могут получить, купив украденные логины/пароли к веб-ресурсам, поиском, кражей и продажей которых занимается отдельная категория киберпреступников.

Получив доступ к чужим веб-ресурсам, злоумышленники с помощью HTML-тега iframe могут изменять на них веб-страницы.

Результатом такого изменения и является переадресация посетителей измененной веб-страницы на любой нужный злоумышленникам веб-ресурс. Если измененных страниц много, то злоумышленник может перенаправить тысячи посетителей. А используя автоматизированные средства, киберпреступники могут изменять до нескольких тысяч веб-страниц в час.

«Трафик», как правило, является самой дешевой услугой и стоит в пределах $0,5-1 за тысячу посетителей.

Владельцы ботнетов покупают «трафик» и перенаправляют пользователей с легальных взломанных ресурсов на страницы со свежими эксплойтами. Если после переадресации атака на браузер прошла успешно, компьютер посетителя заражается и становится частью ботнета.

Хостинг

Еще одним выгодным бизнесом в киберкриминальном мире, является предоставление услуг абузоустойчивого хостинга. Владельцы таких хостинговых площадок не заботятся о том, какой контент размещают их клиенты, и даже более того — гарантируют, что не будут обращать внимание на жалобы со стороны посетителей или других хостинг-провайдеров.

Закрытый в конце 2007 года и нашумевший в западной и российской прессе RBN был одним из таких сервисов. До сих пор на разных уровнях продолжают появляться его аналоги — как крупные, так и мелкие поставщики абузоустойчивых хостинговых площадок.

Желающих купить хостинг довольно много, а предложение по правилам рынка продолжает расти вслед за спросом. Форумы переполнены предложениями по продаже абузойстойчивых хостингов. Именно такие площадки ищут владельцы ботнетов, которым нужно разместить в надежном месте центр управления ботнетом.

Потребители киберкриминальных услуг

До сих пор речь шла о поставщиках услуг и товаров на киберкриминальном рынке. Однако роль покупателей на этом рынке оказывается еще более значимой. Именно они осуществляют массовые атаки на пользователей и несанкционированный доступ к данным и ресурсам зараженных компьютеров. Именно они получают самую высокую прибыль, воруя электронную валюту и деньги с чужих кредитных карт. Такие преступники, как правило, держатся отдельно и нечасто связаны с технически более образованными злоумышленниками, разрабатывающими вредоносный код.

И именно на таких заказчиков криминальных услуг зачастую работают ботнеты.

Основные категории потребителей киберкриминальных услуг, заинтересованных в ботнетах:

  1. Кардеры
  2. Вымогатели и нечестные конкуренты
  3. Спамеры

Кардеры

Одним из первых видов преступлений в глобальной сети был кардинг. Кардеры наживаются, используя украденные кредитные карты и сведения о владельцах держателей карт. У этой категории киберпреступников имеются собственные тематические форумы, на которых обсуждаются организационные вопросы отмывания и обналичивания денег. Поскольку махинации с кредитными картами — это уже финансовые махинации, кардеров больше других киберзлоумышленников беспокоят вопросы собственной анонимности и безопасности.

На скриншоте — содержание типичного кардерского форума. На таком форуме можно приобрести виртуальные кредитные карты, т.е. только данные кредитной карты и ее владельца. Там же можно договориться и о покупке реальных пластиковых карточек (а точнее, их дубликатов). Виртуальные краденые кредитные карты в андеграунд-кругах называют «картоном», а реальные пластиковые карты — «пластиком».

В случае использования реальных пластиковых карт деньги обналичиваются через банкоматы. Для того чтобы банк сразу ничего не заподозрил, деньги с карточки снимает посредник, который проживает в том же регионе, что и владелец настоящей карты.

В случае работы с «картоном» деньги сначала отмывают. Для отмывания денег существует несколько распространенных способов:

  • покупка по краденым кредитным картам реальных товаров в реальных магазинах с целью быстро перепродать товар, повысив спрос на него за счет снижения цены;
  • использование онлайн-казино для перевода денежных средств с краденых кредитных карт на другие счета;
  • покупка по краденым кредитным картам товара на онлайн-аукционе с целью перепродажи его по меньшей цене (возможно, на том же аукционе);
  • удаленная аренда с помощью краденой кредитной карты хостинговой площадки и дальнейшая перепродажа этой площадки (субаренда) другим клиентам по очень низким ценам.

Кардеры, в свою очередь, нуждаются в отдельной услуге по подделке различных документов. И это еще одна ниша, активно осваиваемая на виртуальном рынке.

В случае блокирования электронных денежных счетов банки, как правило, просят прислать отсканированные копии документов, чтобы убедиться в подлинности владельца счета. Владельцы сервисов по подделке документов берутся нарисовать что угодно, и выглядеть это будет, как оригинал. Подделываются изображения практически любых документов, включая водительские права, паспорта, счета оплаты услуг электричества и телефонной связи, дипломы и даже кредитные карты.

Роль кардеров в киберкриминальном мире очень значима. Кардеры — самые щедрые заказчики всевозможных разработок, поскольку именно они являются самыми богатыми киберпреступниками. Если бы не было ботнетов, то данные кредитных карт поступали бы к ним в гораздо меньших количествах. А так как кардеры заинтересованы в увеличении масштабов своего бизнеса, то они будут платить тем, у кого краденых кредитных карт больше — то есть владельцам ботнетов.

Вымогатели и нечестные конкуренты

Эти киберпреступники могут действовать только через ботнеты. Их единственная задача — вывести из строя определенный веб-ресурс с помощью DDoS-атаки. Вымогатели требуют денег за остановку DDoS-атаки, нечестные предприниматели просто радуются неудачам своих соперников и зарабатывают больше за счет недоступности ресурсов конкурентов. Заказчики DDoS-атак нечасто публикуют свои объявления, поскольку боятся прямо или косвенно нарушить собственную анонимность. Впрочем, в период летних отпусков иногда можно встретить в Сети объявления, в которых заказчики, возмущенные отсутствием поставщиков DDoS-услуг, пытаются более активно искать тех, кто может организовать DDoS-атаку.

Спамеры

Сегодня предложений по рассылке спам-сообщений со взломанных серверов настолько много, что заказчики довольно быстро находят исполнителя. Тем не менее, около 85% спама рассылается с ботнетов. Как правило, спамеры получают деньги за счет рассылки рекламы, или увеличения продаж онлайн-магазинов, или притока клиентов интернет-казино. Владельцы ботнетов заинтересованы в таких клиентах, поскольку с перечисленными им деньгами, не имеющими репутации краденых, у них меньше проблем.

Заключение

Ботнеты влияют на развитие киберкриминального бизнеса. С одной стороны, они стимулируют развитие различных сервисов на киберкриминальном рынке, поскольку владельцы ботнетов являются основными заказчикам таких услуг, как разработка и шифрование вредоносного кода, создание и поддержка систем эксплойтов, абузоустойчивый хостинг и «трафик». С другой стороны, ботнеты необходимы для успешного ведения дел таким акулам киберкриминального бизнеса, как кардеры и спамеры.

Именно ботнеты объединяют все составляющие киберкриминального бизнеса в единую систему и способствуют движению денежных потоков от тех, кто наживается на массовых рассылках и ворует деньги со счетов пользователей, к вирусописателям и поставщикам киберкриминальных услуг.

Киберкриминальный бизнес развивается по спирали. Разработчики вредоносного кода и другие поставщики кибекриминальных сервисов посредством гарантов предоставляют услуги владельцам ботнетов. Владельцы ботнетов, в свою очередь, предоставляют услуги на основе ботнетов кардерам, спамерам и другим заказчикам. Заработав на разработке вредоносной программы или иной услуге, поставщики берутся за новые услуги и новый вредоносный код, и начинается новый цикл. При этом каждый следующий цикл вовлекает большее количество участников: заказчики стремятся увеличить денежный оборот, а слухи о выгодных заказах на разработку вредоносных программ растекаются по хакерским форумам и другим каналам общения киберпреступников.

Сегодня с помощью ботнетов злоумышленники могут получать несанкционированный доступ не к одной-двум машинам, а к сотням и тысячам компьютеров. Ботнеты влияют на число совершаемых преступлений в Сети — именно благодаря ботнетам количество жертв воровства кредитных карт увеличилось в тысячи раз. DDoS-атака стала самым обычным делом в интернете, и такую атаку с помощью ботнета может организовать даже школьник.

Ботнеты являются своего рода кровеносной системой киберкриминального бизнеса, они способствуют движению денежных потоков между его составляющими и развитию киберкриминала в целом. От того, что будет происходить с ботнетами, зависит то, каким будет интернет завтра.

Экосистема ботнетов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике