Охотники за «головами» ботнетов

Любопытная статья, опубликованная на cсайте eweek.com, рассказывает о работе группы экспертов, которые борются с ботнетами.

Более 100 экспертов по компьютерной безопасности из различных организаций — антивирусных компаний, ISP, образовательных учреждений и др. — занялись выявлением и дезактивацией C&C (command-and-control) инфраструктуры, которая рассылает инструкции миллионам зомбированных машин.

У группы нет официального статуса. По словам одного из участников, это просто компания хороших парней, которые заинтересованы в том, чтобы «заткнуть» ботнеты.

«Идея в том, чтобы обмениваться информацией и вычислять, откуда ботнеты получают инструкции. Выявив командный сервер, мы можем действовать быстро и вывести его из строя. Оставшись «без головы» ботнеты становятся бесполезными», — сказал Роджер Томпсон (Roger Thompson), эксперт из компании Computer Associates International.

Изначально тактика была другой: выявлялись зараженные машины. Однако такой подход оказался неэффективным: одну вычищенную машину сменяли 20 или 100 новых зомби. Поэтому группа нацелилась на систему, управляющую ботнетами.

Наблюдая за машиной, зараженной трояном, исследователи могут понять, что она делает, какой сервер с ней взаимодействует, и каким образом владельцы ботнетов посылают инструкции зараженным машинам.

Инфраструктура C&C чаще всего использует сервер IRC (Inter Relay Chat), нелегально инсталлированный в корпоративную сеть или сеть образовательного учреждения.

Группой были обнаружены ботнеты разного размера, в том числе сеть из 100000 машин. Отмечено много случаев кросс-инфекций, когда одна машина принимает команды с нескольких управляющих серверов, что значительно усложняет задачу. Расправившись с одним сервером C&C, исследователи зачастую обнаруживали еще несколько действующих.

Еще одна проблема — уязвимость машин, однажды ставших звеном ботнетов. Даже когда «голова» ботнета отрублена, машины в «загашенной» зомби-сети, как правило, остаются доступными для последующего инфицирования.

Участники группы говорят о том, что им приходится иметь дело с очень умелыми и изобретательными противниками, которые доказали, что они знают, как обойти существующие системы защиты.

Недавно антивирусные компании били тревогу по поводу новой вирусной атаки с использованием трех различных троянов, которые взаимодействовали друг с другом. Атака проходила в несколько этапов: проникновение, быстрая дезактивация антивирусного ПО и получение инструкций извне. Кроме того, инфицированный компьютер автоматически начинал сканировать собственную сеть в поисках незащищенной системы с тем, чтобы расширить зомби-сеть.

Хорошие парни из группы утверждают, что плохие парни тоже учатся и могут быстро реагировать на угрозу со стороны специалистов по безопасности. В результате, охота за серверами C&C превращается в своего рода игру в кошки-мышки — надо найти командный сервер ботнета до того, как его владельцы вычислят, что «охотники» у них на хвосте, и сменят дислокацию командного центра.

Эксперты отмечают, что многое зависит от ISP. В частности, необходимо быстро отключать доступ в Интернет зомбированных машин.

Однако о возможности скорой и легкой победы, увы, не говорит никто.

По данным компании MessageLabs, в настоящее время 80% спамовых писем рассылаются с зомбированных машин. Цифра, полученная Sophos, менее значительная — 50%, однако это на 25% больше, чем данные компании за прошлый год.

Спамеры — основные заказчики ботнетов, и спрос на зомби-сети растет. Время одиноких хакеров и романтичных вирусописателей прошло. Нынче в теневой интернет-индустрии действуют хорошо организованные преступные группы, стремящиеся к наживе.

Решение проблемы ботнетов выходит за рамки технических вопросов. Пока не прекратится спрос на зомби-сети, а, значит, их финансирование, война выиграна не будет.