“Бизнес DDoS’ера напрямую завязан на ботнеты”

Ботнеты существуют уже около 10 лет, и приблизительно столько же эксперты предупреждают о той опасности, которую они представляют. Однако эта проблема по-прежнему остается недооцененной, и многие пользователи (до тех пор пока им не отключат Интернет, или они не обнаружат исчезновение денег с кредитных карт, или у них не украдут почтовый ящик либо аккаунт IM) плохо понимают, в чем состоит реальная угроза зомби-сетей. О путях заражения компьютеров Backdoor`ами, структуре подобных сетей, типологии криминальных задач, решаемых таким образом, Виталий Камлюк, старший вирусный аналитик “Лаборатории Касперского” рассказал научному редактору PC Week/RE Максиму Букину.

PC Week: Как вы оцениваете количество охваченных бот-сетями компьютеров и кто владеет такими сетями?

Виталий Камлюк: Крупная зомби-сеть сегодня насчитывает по меньшей мере 100 тыс. компьютеров, среднестатистическая — 10—20 тыс. машин. Учитывая, что криминальных кибергрупп становится всё больше (в прошлом году мы говорили о 1500 таких образований в глобальной сети), можно попытаться приблизительно оценить число компьютеров, входящих в зомби-сети. Но также следует учитывать процент тех ПК, которые заражены разными вредоносными программами и включены одновременно в несколько разных ботнетов. По нашим оценкам, в Сети сейчас может находиться 20—30 млн. зомби-машин.

Владельцами крупных ботнетов могут быть как группы кибепреступников, так и отдельные “специалисты”. Размер ботнета определяется всего тремя факторами. Во-первых, многое зависит от эффективности той или иной технологии распространения заражения — для постановки под контроль компьютера его сначала необходимо инфицировать с помощью вирусной программы. В данном случае на первый план выходит антивирусная безопасность сетей, наличие и обновление которой позволяют снизить риск использования рабочих станций и серверов компаний в работе бот-сетей. В 2007 г. внимание многих исследователей привлек P2P-ботнет, созданный на основе вредоносной программы, известной как Storm Worm. При этом авторы “штормового” червя распространяли свое детище весьма активно: по-видимому, они организовали целую фабрику по написанию новых версий вредоносной программы. С января 2007 г. мы ежедневно получаем три-пять различных вариантов этого вируса — причем код бота мутирует, что напоминает полиморфные вирусы. Мутации происходят достаточно часто (были зафиксированы случаи мутаций раз в час) и — главное — на стороне сервера, так что обновления антивирусных баз для многих пользователей оказываются неэффективными.

Во-вторых, это невидимость заражения для пользователя и срок недетектируемости такой программы, заразившей компьютер. Безусловно, чем этот срок дольше, тем лучше для злоумышленников. Вредоносная программа-бот старается как можно незаметнее функционировать в системе, ведь очевидно, что программа, которая постоянно атакует компьютер или проявляет большую сетевую активность, быстрее обращает на себя внимание и администраторов, и пользователей. Поэтому дозированная активность, не требующая использования значительного числа компьютерных ресурсов, с точки зрения вредоносной программы наиболее безопасна.

В-третьих, имеет значение возраст ботнета — своего пика такая сеть достигает сразу после её создания, если механизм заражения сторонних компьютеров достаточно эффективен. Но это далеко не вечное образование, подобные сети не постоянны и динамически меняют число находящихся под их контролем компьютеров. Хотя, должен отметить, и здесь есть свои особенности — существуют ботнеты с малоэффективной технологией заражения, но созданные очень давно, и они достигают размеров в 100 тыс. и более ПК.

PC Week: Если бот-сети обладают таким значительным числом зомби-машин, то как их контролируют создатели? И какие системы используют хакеры для своей безопасности при управлении ботнетами?

В. К.: История ботнетов началась в 1998—1999 гг., когда появились первые программы поведения Backdoor — небезызвестные NetBus и BackOrifice2000. Это были концепты, которые несли полный набор функций удаленного управления зараженным компьютером, что позволяло злоумышленникам работать на нем с файлами, запускать новые программы, получать снимки экрана, открывать/закрывать CD-привод и т. д.

В настоящий момент вариантов контроля очень много, и они зависят от топологии ботнета. Самый первый вид ботнетов, которые сейчас утрачивают свои позиции, — это IRC-ориентированные, где управление ботами осуществляется на основе IRC (Internet Relay Chat). Каждый зараженный компьютер соединяется с указанным в теле программы-бота IRC-сервером, заходит на определенный канал и ждет команды от своего “хозяина”. Далее, получая ее, активно выполняет и регулярно обращается к управляющему центру за дополнительными инструкциями. Еще один вид ботов — правда, не очень популярных — это IM-ориентированные. Они отличаются от своих IRC-ориентированных собратьев только тем, что для передачи данных используют каналы IM-служб (Instant Messaging), например AOL, MSN, ICQ и др.

Но наиболее популярны веб-ориентированные боты: это относительно новая и быстро развивающаяся ветвь ботнетов, предназначенная для управления через Web. Бот соединяется с определенным веб-сервером, получает от него команды и передает в ответ свои данные. Такие системы популярны в силу относительной легкости их разработки, большого числа веб-серверов в Интернете и простоты управления через веб-интерфейс.

Самым легким способом управления является централизованный контроль с использованием веб-сервера без разделения зомби-сети на кластеры. Это решение экономит время и способно работать даже автономно, пока число ботов не превысит критическую массу, после которой сервер начинает очень медленно реагировать на команды, что вынуждает владельцев менять тактику и разбивать ботнет на части или уменьшать скорость реакции ботнета на новую команду (боты реже обращаются к серверу).

Системы безопасности и сокрытия своих действий у кибепреступников пока не сложные — это авторизация через веб-формы, использование прокси, простое шифрование данных, а то и расчет на недоступность интерпретации результата запроса к серверу. И конечно, использование мобильных подключений, виртуальных частных сетей (VPN), а также ворованных номеров карточек для аренды серверов и хостинга, попытка скрытия своего провайдера, через которого хакеры обращаются к управляющим серверам. .

PC Week: Какие цели для владельцев бот-сетей наиболее типичны?

В. К.: Целью владельцев ботнетов прежде всего являются новые потенциальные зомби-компьютеры — их обнаружение и постановка под контроль. Именно новые ПК приносят дополнительную мощность для проведения DDoS-атак и множество пользовательских данных, которые можно использовать самостоятельно или продавать, — это логины/пароли от различных электронных ресурсов, аккаунты от электронного банкинга и онлайн-игр.

К сожалению, построить ботнет не составляет особого труда: для этого есть специальные средства. Самые популярные из них — программные пакеты, известные как MPack, IcePack, AdPack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной веб-страницы, используя уязвимости в ПО браузеров или в плагинах к ним. Такие программные пакеты называются веб-системами массового заражения или просто ExploitPack.

Целенаправленно владельцы ботнетов не могут заражать компьютеры отдельных компаний, деловых центров или школ. Поэтому они заражают всё, что заражается, руководствуясь принципом “заразим всё, а там разберемся”. Конечно, такие организации, как общеобразовательные учреждения, вузы, зачастую становятся жертвами “ботнетчиков”, поскольку на антивирусную защиту компьютеров школ не выделяется достаточное количество ресурсов, преподаватели и администраторы порой неспособны правильно настроить ПО для безопасной работы ПК, что является причиной значительного числа зомби-машин в учебных заведениях.

По своему опыту, могу отметить, что в регионах России большинство школьных компьютеров заражено вредоносными программами, и это не потому, что заразился один и распространил инфекцию, а потому, что заражены они были совсем разными программами: какие-то тихо сидели и ждали команды хозяина, другие без перерыва отправляли спам, третьи открывали порно-сайты при старте браузера, “накручивая” рейтинги посещаемости своим хозяевам.

PC Week: По каким критериям ИТ-специалисты могут отследить наличие бот-сети в своей компьютерной сети?

В. К.: Это непростая задача. Наиболее эффективным и универсальным методом является, пожалуй, профилактика, т. е. контроль проникновения постороннего программного обеспечения. Всё, что не устанавливал администратор, что ему незнакомо или получено из неясных источников, не должно работать на компьютере. Конечно, пользователи могут принести программу с собой (скажем, на флэшке) или скачать из ее Интернета, но политика безопасности должна быть настроена так, что при следующем входе в систему все посторонние программы удаляются с жесткого диска.

PC Week: Какова ситуация с DDoS-атаками в России и как она связана с бот-сетями?

В. К.: Ситуация с такими противоправными действиями в России обостряется. Если пару лет назад российские киберпреступники, как правило, не атаковали и не шантажировали ресурсы соотечественников и направляли свою агрессию за границу, то сегодня мы всё чаще слышим о внутренних атаках на российские серверы.

Безусловно, бизнес DDoS’ера напрямую завязан на ботнеты. Отдавать ботнет в аренду небезопасно, поскольку таким образом его можно “украсть”, перенастроив для обращений на другой сервер, поэтому владельцы ботнетов просто предлагают свои услуги по организации DDoS-атак на серверы. В аренду ботнеты могут сдаваться в качестве прокси-серверов для рассылки спама или анонимного доступа к ресурсам Интернета.

PC Week: Спасибо за беседу.