Серые кардиналы Веба
АрхивКолонка ЗолотоваГруппе немецких исследователей удалось заглянуть в преисподнюю Веба, изучив более сотни бот-сетей - грозного оружия киберкриминального сообщества.
Интернет давно вышел из младенческого возраста с присущей ему простотой. Глобальная сеть сегодня - невообразимо сложная, многоярусная структура, в которой взгляду рядового путешественника доступна лишь незначительная часть. Нырять глубже, в тёмные глубины виртуальных вод, решаются немногие - одной смелости для этого мало, нужно особое оснащение. Но диковинки, которые приносят с собой исследователи, стоят и труда, и риска. На днях немецкие специалисты по информационной безопасности опубликовали отчёт об одной такой экспедиции, длившейся несколько месяцев: осенью прошлого года группа специалистов начала изучение яруса ботнетов и сейчас делится своими находками.
Ботнеты (от англ. botnets) - онлайновый андеграунд, преисподняя Веба - множество субсетей, протянутых по каналам интернета автономными клиентами, в роли которых выступают вирусные и шпионские программы (боты). Паразитирующие на обычных персоналках и серверах, боты в значительной степени самостоятельны (репликация, поддержание связи с другими узлами, выполнение различных задач на заражённых машинах - всё это они делают сами), но в конечном счёте всегда подчинены своим хозяевам. Последние управляют ботнетами удалённо, обычно через публичные IRC-каналы. Антивирусным компаниям и специалистам по защите систем и сетей сегодня известно несколько десятков популярных разновидностей ботов, анализ их позволяет судить и о задачах, выполняемых сетями таких программ (проведение DdoS-атак, рассылка спама, кража данных). Считается, что компьютеры, входящие в состав бот-сетей, составляют значительную часть сети глобальной, но какова в точности их массовая доля, сказать, по понятным причинам, трудно: создатели ботнетов не афишируют свою работу, а доступ к этим сетям требует знания закрытой информации.
Пролить свет на киберкриминальный феномен удалось немецким исследователям, участвующим в интернациональном проекте Honeynet Project. Для изучения ботнетов они применили оригинальную технику, позволившую взглянуть на проблему изнутри: сеть-приманку (honeynet), составленную из нескольких машин под управлением Microsoft Windows, замаскированных под обычные домашние персоналки, но на самом деле оснащённых особым программным обеспечением для мониторинга. Подключение "подставных" машин к Сети уже через несколько минут приводило к их заражению какой-либо заразой, которая часто подключала инфицированную PC к одной из развёрнутых в интернете ботнетов. Анализируя исходящий трафик и исследуя по выловленным из него ссылкам различные веб-ресурсы, авторы работы получили уникальные результаты. Подробности можно найти в увлекательном отчёте, опубликованном на сайте honeynet.org ("Know Your Enemy: Tracking Botnets"), здесь же хотелось бы остановиться на самых интересных общих моментах.
Прежде всего впечатляет размах: всего за три месяца исследователям удалось обнаружить более сотни ботнетов, в каждой из которых присутствовало от нескольких сотен до десятков тысяч машин. Экстраполяция на глобальную сеть позволяет авторам исследования утверждать: по самой скромной оценке в Сети работает более одного миллиона машин, заражённых той или иной разновидностью бот-заразы. Преимущественно это домашние персоналки с постоянным интернет-подключением и операционной системой Microsoft Windows (XP SP1, Windows 2000 и более ранних версий). Самым популярным инструментом, используемым ботами для координации своих действий, а их хозяевами - для управления ботнетами в целом, действительно являются сети IRC. Подтвердился и ряд других предположений, прежде всего касающихся задач, решаемых с помощью таких сетей. Ботнеты активно применяются для организации DDoS-атак. Трафик, порождаемый даже одной сетью из нескольких сотен PC, превышает способности средней корпоративной локалки, а крупные ботнеты способны "завалить" и самые мощные из существующих распределённых сетевых структур: временный выход из строя летом прошлого года сети кэширующих серверов Akamai Technologies предположительно был вызван ботнет-атакой. Используются ботнеты и для рассылки спама, и как стартовые площадки для вирусных эпидемий: многие боты умеют распространяться самостоятельно, эксплуатируя широко известные уязвимости в ОС семейства Windows. Наконец, было практически подтверждено и существование бот-сетей, ведущих "шпионскую" деятельность: прослушивающих трафик инфицированных машин, "подслушивающих" клавиатурный ввод их пользователей.
Но нашлись и ботнеты, занятые другими задачами. Исследователи из Honeynet описывают подсмотренную ими сеть ботов, занятую кражей виртуальных товаров у пользователей игры Diablo 2 и автоматической перепродажей их с аукциона на сайте eBay. Машины в другой бот-сети "накручивали" денежный счёт её хозяев в рекламной системе Google AdSense. В ходе наблюдений был зафиксирован случай применения ботнета в разборках между конкурирующими компаниями, попытки использования таких сетей для манипуляции результатами онлайновых опросов, применение их для динамического хостинга поддельных сайтов, копирующих сайты финансовых учреждений.
Удивляет и удручает одновременно то, что типичным организатором ботнетов, по усреднённому описанию, составленному исследователями, является подросток с весьма скудным программистским опытом. Увы, компьютер стал предметом быта, квалификация среднего пользователя стремится к нулю, а с ней и квалификация киберзлоумышленников. Впрочем, авторы "Know Your Enemy" расслабляться не советуют, предупреждая, что даже в неумелых руках, ботнет - очень опасное оружие. А среди организаторов этих сетей попадаются и высококлассные специалисты, скорее всего работающие на организованную преступность. Потенциал бот-сетей высок, поэтому спектр и сложность атак с их применением будут расти, а с ними и сложность бот-алгоритмов. И недалёк тот день, когда с простецких IRC-каналов боты перейдут на сложные децентрализованные P2P-механизмы, затруднив своё обнаружение, поднявшись на новую ступеньку эффективности. Всё это настоятельно требует активизировать работы по изучению ботнетов. Криминальное сообщество Веба не спит - нельзя спать и тем, кто ему противостоит.