Архивы: по дате | по разделам | по авторам

Из жизни ботнетов

АрхивКолумнисты
автор : Берд Киви   14.07.2009

Благодаря современным инфотехнологиям люди всего мира стали гораздо сильнее зависеть друг от друга. Но одно дело - рассуждать о подобных идеях абстрактно и совсем другое - испытывать их на собственной шкуре.

Благодаря современным инфотехнологиям (и, конечно же, глобализации экономики) люди всего мира стали гораздо сильнее зависеть друг от друга. Но одно дело - рассуждать о подобных идеях абстрактно и совсем другое - испытывать их на собственной шкуре.

Вот, скажем, власти Китая только что издали директиву, регулирующую, на первый взгляд, их сугубо внутренние китайские дела. А именно: начиная с 1 июля каждый персональный компьютер, продаваемый в этой стране, по высочайшему повелению партии и правительства непременно должен иметь программу цензуры под названием Лю Ба, то есть "Зеленая дамба". Программа, созданная по госзаказу местной компанией Jin Hui, оснащена целым комплексом средств для контроля за интернет-соединениями компьютера. А если говорить без экивоков - для блокирования доступа к "нехорошим" сайтам, к коим правящая партия относит не только порнографические или террористические, но и оппозиционные.

Новые действия авторитарного государства по дальнейшему урезанию свобод своих граждан породили немало протестов со стороны международных правозащитных организаций. А западные компьютерные фирмы, делающие в Китае с его гигантским населением очень большие деньги и углядевшие в данной инициативе угрозу своим доходам, тут же призвали китайские власти пересмотреть столь жесткое решение. Однако самую большую проблему, без преувеличения - глобального характера - углядели в этой истории специалисты по компьютерной безопасности.

"Зеленую дамбу", выложенную в Интернете для свободного скачивания (см., например, www.lssw365.net/index.php/List/index/pid/2), тут же взяли в оборот несколько исследовательских групп - на предмет выявления слабых мест в защите и потенциальных угроз для владельца компьютера. Одной из первых предварительные результаты, достойные публикации, получила команда из Мичиганского университета1. То, что исследователи обнаружили в программе, дало им основания забить во все колокола и настоятельно порекомендовать юзерам, уже инсталлировавшим "Зеленую дамбу", немедленно вычистить её из компьютера.

По заключению экспертов, серьезнейшие дефекты в защите программы порождены типичными ошибками программистов, плохо разбирающихся в вопросах безопасности. Любой сайт, который посещает владелец машины, может воспользоваться имеющимися в программе дырами, чтобы инфицировать компьютер и поставить его под контроль. Кроме того, исследователи показали, что механизм, с помощью которого "Зеленая дамба" регулярно обновляет "черные списки" сайтов, подлежащих блокированию, позволяет дистанционно внедрять в машину разного рода вредоносные программы.

Иначе говоря, менее чем за двенадцать часов мичиганцы обнаружили в китайской программе целый комплекс дефектов, позволяющих преступникам похищать чувствительные персональные данные пользователей, рассылать спам через заражённый компьютер и даже превращать его в "зомбимашину" и присоединять к ботнету - сети программных роботов, работающих на криминальные структуры без ведома владельцев компьютеров.

И коль скоро большинство специалистов расценивают ботнеты как самую серьезную и трудно искореняемую угрозу для всеобщей кибербезопасности, скоропалительная инициатива китайских властей с их "Дамбой" выглядит чрезвычайно опасно. Потому что число персональных компьютеров в Китае исчисляется сотнями миллионов, и если все они будут принудительно оснащаться откровенно беззащитной программой, то транснациональные криминальные ботнеты получат на блюдечке готовую платформу воистину гигантских масштабов...

Был твой - стал мой

В самой идее ботнетов нет ничего ни нового, ни криминального, поскольку по большому счету ботнетом можно называть любую распределённую систему вычислений. Но вот когда с конца 1990-х годов криминальные хакеры начали всё активнее использовать средства скрытного дистанционного управления машинами, работающие через "черные ходы", обеспечиваемые троянцами и руткитами, ботнеты сетевых преступников стали большущей занозой. Особенно для банков и прочих платежно-финансовых сервисов в онлайне, коль скоро главная цель ботнетов - похищение информации о кредитных картах и других банковских реквизитах, требующихся для доступа к деньгам на счетах. В не меньшей степени страдают от краж и другие учреждения, оперирующие чувствительной персональной информацией граждан, а также, разумеется, и миллионы людей, чьи данные похищаются в преступных целях.

Особую остроту этой проблеме придает то, что современный программный инструментарий для сборки и использования шпионского ботнета совсем не сложен в освоении и доступен злоумышленникам даже с минимальными компьютерными навыками. На подпольных онлайновых рынках такие инструментальные пакеты продаются по цене от нескольких сот до нескольких тысяч долларов, а самые жадные и целеустремленные искатели могут раздобыть их вообще бесплатно.

Ну и поскольку речь идет о криминальном мире, практически с момента появления шпионских ботнетов в Сети обычным делом здесь является "угон" уже развернутого ботнета у хозяина более шустрыми и нахальными конкурентами. Которым, скажем, лень или невтерпеж месяцами дожидаться наращивания количества ботов (зараженных зомбикомпьютеров) в системе, а гораздо проще перехватить управление чужим ботнетом.

О тайной жизни ботнетов обычно пишут непрерывно сражающиеся с ними антивирусные компании, а также академические исследователи из университетских лабораторий компьютерной безопасности. Как правило, главными источниками сведений здесь являются коды выявленных ботов, тщательно препарируемые инструментальные наборы-билдеры с черного рынка и искусственно "подсаживаемые" в ботнет компьютеры исследователей, позволяющие наблюдать поведение шпионских программ непосредственно в работе.

В начале нынешнего года команда исследователей из Калифорнийского университета в Санта-Барбаре решила поставить изучение криминальных ботнетов на качественно новый уровень и попытаться "угнать" одну из таких сетей у их владельцев. В качестве объекта был выбран чрезвычайно продвинутый ботнет Torpig, также известный под именами Sinowal или Anserin. Поскольку попытка угона была тщательно подготовлена и прошла весьма успешно - по крайней мере, в начальных фазах, - калифорнийцам удалось узнать массу действительно новых вещей о тайной жизни крупных ботнетов, управляемых из преступного мира. Наиболее существенные из этих открытий изложены в отчете, опубликованном в Сети2.

В центре шпионской армады

Итоговая статья калифорнийской команды имеет объём около полутора десятков страниц убористым шрифтом и более чем заслуживает полного с нею ознакомления. Здесь же мы вкратце изложим лишь наиболее примечательные моменты исследования (заметим, что угон ботнета Torpig длился десять дней и предоставил учёным огромное количество материалов для анализа).

Самой интересной частью отчета, безусловно, является рассказ о том, как исследователям удалось угнать у хозяев столь изощренный ботнет, про который было известно, что он регулярно меняет сетевые адреса своего центра управления (C&C). Сотрудники университетской лаборатории компьютерной безопасности сумели разобраться, каким образом бот в зомбимашине решает, куда ему обращаться за очередными инструкциями. Иными словами - как работает алгоритм вычисления очередного адреса для размещения C&C. Вчастности, было установлено, что ботнет использовал особую технологию для псевдослучайной генерации адресов, получившую у исследователей название "поток доменов" (domain flux). В соответствии с этим алгоритмом боты Torpig (а также других продвинутых ботнетов) регулярно, скажем, раз в неделю, обращаются к новым веб-сайтам с разными именами. Этот прием, как легко догадаться, направлен на то, чтобы максимально затруднить охотникам за ботнетом (правоохранительным органам или конкурентам-угонщикам) предугадывание дальнейших ходов системы.

Впрочем, восстановить довольно простой и сугубо детерминированный алгоритм генерации адресов для опытных аналитиков не составило большого труда - достаточно было лишь установить, где именно спрятан его код. После этого уже можно было определить, к каким сайтам боты Torpig станут обращаться в дальнейшем за новыми инструкциями. Говоря упрощенно, Torpig брал за основу "случайного" имени номер текущей недели и год и генерировал блок новых доменных имен, добавляя в конец суффиксы .com, .net и .biz.

Университетская команда заметила, что владельцы ботнета регистрировали нужные домены лишь за несколько недель до наступления соответствующей даты, поэтому "угонщики" немного их опередили, вычислив, к каким именам Torpig вскоре должен обращаться, купили эти имена и разместили на веб-хостах, известных своим безразличием к сигналам о злоупотреблениях арендаторов. Этот трюк позволил команде выдать себя за новый C&C и начать приём всех данных, собираемых ботнетом Torpig. Как только исследователи обнаружили, что их затея удалась, они не мешкая связались с ФБР и Министерством обороны США, посвятили их в суть операции и, грубо говоря, прикрыли собственные задницы на случай возможных осложнений.

Если переходить на язык цифр, то количество зомбимашин, объединяемых центром управления сети Torpig, на момент исследования составляло около 182800. При этом свыше 17200 компьютеров из этого числа принадлежали корпоративным сетям фирм и учреждений. Поскольку целью исследования была не ликвидация или модификация криминальной сети, а максимально возможный сбор сведений о работе ботнета, учёные просто наблюдали за автоматически происходящей работой из захваченного центра управления, а также накапливали и изучали всю ту информацию, что боты похищают из заражённых ПК.

За 10-дневный период, доступный для наблюдения, ботнет выкачал свыше 69 гигабайт чувствительных данных из машин ничего не подозревающих пользователей. В соответствии с настройками шпионских ботов, по преимуществу это была информация для доступа к банковским счетам и реквизиты кредитных карт, списки адресов электронной почты для спам-рассылок, логины-пароли для доступа к email и прочим защищенным аккаунтам пользователей, а также файлы Windows-паролей и вводимых с клавиатуры текстов, перехватываемых кейлоггерами.

В общей сложности за этот срок ботнет Torpig похитил 1660 уникальных номеров кредитных и дебетовых карточек, плюс информацию о 8310 счетах в 410 разных финансовых учреждениях. Среди наиболее активно атакуемых целей похитителей были сервисы PayPal (1770 аккаунтов), Poste Italiane (765), Capital One (314), E*Trade (304) и Chase (217). Вся информация, которую ботнет собрал под контролем исследователей, затем была передана пострадавшим финансовым институтам и правоохранительным органам. Как пояснил эту часть работы один из руководителей операции, доцент университета Джованни Винья, "нашей целью было понять характерные черты жертв ботнета".

Первый из "уведенных" доменов типа .com, на котором был размещен центр управления угонщиков, был закрыт менее чем через наделю, 30 января 2009, когда один из банков пожаловался на криминальную активность сайта регистратору доменных имен. Что, впрочем, отнюдь не было воспринято командой как неудача: "Это был хороший признак, демонстрирующий, что где-то люди реально заняты выявлением вредоносной деятельности".

Угонщики владели следующим именем из генерируемого ботами списка, типа .net, поэтому без проблем продолжили контроль за сетью. Однако 4 февраля изучение прирученного ботнета в работе полностью прекратилось, поскольку настоящие владельцы Torpig распространили новую версию кода, которая изменила алгоритм, использовавшийся ботами для выбора новых доменных имен, и вернула ботнет под свой контроль.

Несмотря на ту очевидную угрозу, что представляют для общества зомбисети вроде Torpig, исследователи признают, что даже не пытались вырубить работу ботнета, поскольку столь крутой шаг легко мог бы привести к непредвиденным последствиям. Например, к самоликвидации зараженных ботами систем, часть из которых может быть задействована в критично важных областях - вроде компьютеров в медицинских учреждениях.

Приступить к самоликвидации

То, что программы-боты превращают зараженные машины в "зомби", уводя компьютеры из-под контроля владельцев и передавая под контроль злоумышленников, уже давно трактуется как одна из наиболее пугающих деталей в работе вредоносного ПО. Потому что тайные владельцы из преступного мира в принципе располагают всеми возможностями для полной ликвидации сети, отдав ботам команду на самоуничтожение вместе с приютившей их компьютерной системой.

Но хотя о возможностях таких известно уже давно, большинство экспертов обычно расценивают подобную угрозу как сугубо теоретическую. Ибо ликвидация захваченных ботнетом систем выглядит для атакующей стороны как-то слишком уж нелогично и контрпродуктивно.

Но как бы там ни было, логично или не очень, однако в реальной жизни подобные акты массового самоуничтожения ботнетов действительно случаются. И сравнительно недавно одно из таких "теоретически маловероятных" происшествий имел возможность воочию наблюдать Роман Хюсси (Roman Hussy), молодой швейцарский специалист по компьютерной безопасности, автор и постоянный ведущий известного в профессиональных кругах веб-сайта ZeusTracker (zeustracker.abuse.ch).

Хюсси и его сайт получили известность благодаря тому, что ZeusTracker на регулярной основе отслеживает длиннющий список серверов, использующих криминальный хакерский набор Zeus. То есть программный инструментарий, в разной комплектации продаваемый на черном рынке за сумму от 700 до 4000 долларов и используемый для построения ботнетов, заражающих компьютер троянцем для похищения паролей и прочей ценной информации. Одна из отличительных особенностей Zeus - это способности к полиморфизму, благодаря которым каждый конкретный вариант бота, установленного на компьютере-жертве, заметно отличается от собратьев, установленных в других машинах. Эта особенность существенно затрудняет обнаружение инфекции антивирусными средствами.

Среди множества возможностей Zeus имеется команда "kos", означающая kill operating system, то есть "убить операционную систему". Файл помощи, распространяемый в комплекте с набором Zeus, содержит примерно такое пояснение к работе данной функции: "kos - вывести из строя ОС, а именно уничтожить ветви реестра HKEY_CURRENT_USER и/или HKEY_LOCAL_MACHINE". После того как уничтожение завершено, бот начинает полное обнуление виртуальной памяти системы. Как показывают эксперименты, в результате отдачи такой команды исследователями в лабораторных условиях наиболее вероятным итогом становится B.S.O.D, то есть "синий экран смерти" системы. Аналогичные по назначению команды имеются и в других ботнетах, однако kos из арсенала Zeus расценивается как одна из наиболее тяжелых по своим разрушительным последствиям.

В апреле этого года Роман Хюсси начал отслеживать работу одного из центров управления Zeus, получавшего данные, похищаемые с более чем ста тысяч инфицированных систем, расположенных главным образом в Польше и Испании. В процессе наблюдения за этим недавно обнаруженным C&C, Хюсси отметил нечто совершенно небывалое: для всех зараженных машин зомбисети вдруг прошла команда "убить ОС". По свидетельству наблюдателя, у него нет ни малейшего понятия, по какой причине ботнет столь неожиданно был разрушен самими хозяевами.

Гипотез на этот счет было выдвинуто сколько угодно. Сам Хюсси полагает, что, быть может, данный ботнет захватила другая преступная группа и в результате зараженные компьютеры стали жертвой междоусобных разборок. С другой стороны, многие киберпреступники, использующие удобный набор Zeus, не слишком опытны во всех этих хакерских хитростях, и может быть так, что люди, контролировавшие работу данной сети, просто не очень хорошо понимали, что делают. Наконец, одна из правдоподобных версий произошедшего предполагает, что злоумышленники, возможно, избрали столь радикальный вариант команды с той целью, чтобы обеспечить себе побольше времени для реализации похищенного и заметания следов.

Конкретно в данном случае ни Хюсси, ни его сайт ZeusTracker ничем не могли помочь владельцам пострадавших от "убийства" машин. Во множестве же других случаев постоянно обновляемые списки ZeusTracker оказываются весьма серьезным подспорьем при "лечении" скомпрометированных серверов и в борьбе с криминальными ботнетами.

Однако, как постоянно подчеркивают все эксперты по компьютерной безопасности, самое эффективное сопротивление росту зомбисетей могут и должны оказывать сами владельцы машин - внимательно следя за обновлениями используемых программ, регулярно сканируя систему на предмет известных инфекций и просто соблюдая элементарные меры "сетевой гигиены" при подключении к Интернету.

Особенности архитектуры

Сегодняшняя классификация ботнетов очень проста. По существу, в её основу положены всего два важных параметра - архитектура ботнетов и протоколы, используемые для их управления. Поскольку с точки зрения угона ботнета важнейшим его параметром является архитектура, рассмотрим этот аспект подробнее.

Архитектуру ботнетов обычно подразделяют на два основных типа - с централизованной и с децентрализованной топологией. Иногда добавляют ещё один, смешанный тип, объединяющий в себе черты двух первых, однако ничего принципиально нового в нём нет.

В ботнетах с централизованной топологией, или, иначе, с единым центром управления, именуемым C&C (от Command & Control Centre), все зомбикомпьютеры подсоединяются строго к одному главному узлу. Центр управления следит за состоянием подключенных ботов, накапливает собираемые ими данные и выдает команды, а также постоянно ожидает подключения новых ботов, регистрируя их в своей базе. Для управления сетью хозяину необходим доступ к C&C, откуда видны все подключенные компьютеры-боты. Такой тип зомбисетей является на сегодня самым распространенным, поскольку их легче создавать и ими удобнее эффективно управлять. Обратной стороной этих преимуществ является то, что ликвидация узла C&C означает блокирование всего ботнета, а для угона достаточно перехватить управление центром.

Зомбисети с децентрализованной топологией часто называют P2P-ботнетами, поскольку здесь боты соединяются не с единым центром управления, а с несколькими соседними, также зараженными машинами по известному принципу peer-to-peer, то есть "точка-точка". Ликвидировать или угнать такую сеть гораздо труднее, поскольку хозяину для управления всем ботнетом достаточно иметь доступ хотя бы к одной из машин зомбисети. С другой стороны, управлять P2P-ботнетом не так удобно, как сетью с C&C. Поэтому часто злоумышленники прибегают к смешанным топологиям, объединяющим в себе наиболее привлекательные черты P2P и C&C.


1. "Analysis of the Green Dam Censorware System" by Wolchok, Yao, Halderman; www.cse.umich.edu/~jhalderm/pub/gd. [назад]

2. "Your Botnet is My Botnet: Analysis of a Botnet Takeover" by Stone-Gross, Cova et al.; www.cs.ucsb.edu/~seclab/projects/torpig. [назад]

Из еженедельника "Компьютерра" № 25-26 (789-790)

© ООО "Компьютерра-Онлайн", 1997-2019
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.