Опасные сети

Число зараженных машин-зомби, включенных в ботнеты, в настоящее время превышает миллион. С захваченных машин преступники тайком от владельцев рассылают спам, осуществляют DDoS-атаки, распространяют шпионское ПО и плодят новых «зомби». Большинство взломанных компьютеров — машины с Windows XP и 2000.

Немецкая некоммерческая организация Honeynet Project, объединившая специалистов по защите информации, для исследования методов взлома машин пользователей и механизмов эксплуатации ботнетов использовала специальные сети-ловушки, открытые для атак. Чтобы проследить все действия злоумышленников, специалисты Honeynet Project разработали ПО, регистрирующее все, что происходит с компьютером, подключенным к Сети. Кроме того, отслеживались также IRC-каналы, используемые для контроля ботнетов.

В ходе исследования в период с ноября 2004 года по январь 2005 года было выявлено более 100 активных ботнетов, размеры которых варьировали от нескольких сотен до 50000 машин. Исходя из полученных результатов, исследователи посчитали, что в настоящее время число зараженных машин, включенных в ботнеты, превышает миллион.

В руках преступников такая армия «зомби» представляет серьезную опасность. Объединение возможностей нескольких тысяч зомбированных машин позволяет мгновенно вывести из строя практически любой сетевой ресурс или сеть. За три месяца исследования Honeynet Project отследила 226 DDoS-атак, нацеленных на 99 различных мишеней. С машин ботнетов рассылаются спам и вирусы и распространяется шпионское ПО. Судя по всему, криминальные структуры начали использовать ботнеты для кражи паролей и персональной информации. В частности, для этого на зомби-машинах размещают поддельные веб-сайты, имитирующие сайты банков. Кроме того, с помощью существующих ботнетов «зомбируются» новые машины.

Как показало исследование, захват машин в открытых сетях-ловушках происходил пугающе легко и занимал от нескольких секунд до нескольких минут. Для расширения ботнетов используются хорошо известные уязвимости операционной системы Window. С этой целью могут также рассылаться зараженные вирусами электронные письма.

Подавляющее большинство компьютеров, образующих ботнеты, это машины под управлением Windows XP и 2000, имеющие широкополосный доступ в Интернет. Самыми уязвимыми портами оказались TCP 445 (используется для создания общего доступа к файлам), TCP 139 (используется для подключения к общедоступным файлам), UDP 137 (ищет информацию на других компьютерах), TCP 135 (удаленно выполняет программы).

После заражения новые «зомби», как правило, связываются по каналам чатов с IRC-серверами и ждут инструкций от хакеров, управляющих сетью, в которую попала машина.

Ботнетами могут управлять как одиночки (даже малоопытные новички), так и хорошо организованные преступные группировки. Владельцы ботнетов могут продавать сети или сдавать их в аренду. В ходе исследования был отмечен случай кражи, когда «хозяин» одной сети перехватил управление другой сетью у конкурента.

В отчете подчеркивается, что созданные хакерами сети машин-зомби даже в неумелых руках являются грозным оружием.

Полный текст отчета Honeynet Project здесь.

Источник: BBC

Источник: Honeynet Project