Вы используете устаревший браузер!

Страница может отображаться некорректно.

Основы ботоведения

Основы ботоведения

Другие выпуски этой рубрики (4)
  • добавить в избранное
    Добавить в закладки

Рыбалка на ботов

Прочитали: 1054 Комментариев: 89 Рейтинг: 86

Только правоохранительные органы имеют право проводить действия, необходимые для выявления преступников. В частности, получение информации с компьютера предполагаемого злоумышленника может быть совершено только с санкции суда. Откуда же антивирусные компании располагают информацией о том, сколько устройств заражено тем или иным троянцем и в каких странах находятся их пользователи?

Количество уникальных IP-адресов зараженных устройств показано на следующей диаграмме. Следует отметить, что иллюстрация показывает только число наблюдаемых аналитиками «Доктор Веб» ботов, реальное же количество инфицированных устройств может быть больше.

#drweb

Распределение источников атак с использованием Linux.ProxyM по географическому признаку за минувшие 30 дней показано на следующей иллюстрации:

#drweb

https://news.drweb.ru/show/?i=11467&c=23&p=0

Приверженцев конспирологии этот факт не удивит – они-то знают, кто на самом деле пишет вирусы!

Но в реальности все гораздо интереснее. Для начала поговорим немного об устройстве ботнета. Киберпреступники заинтересованы в том, чтобы ботнет был устойчивым. Это вполне логично: если все боты будут обращаться к единому командному центру, то этот центр может быть легко заблокирован (что, кстати, и произошло в ходе эпидемии WannaCry). Естественно, в этом случае злоумышленник теряет контроль над своей сетью.

Как вариант, боты могут использовать некий генератор адресов командного центра и в случае блокировки одного адреса начнут обращаться к следующему. Главное – успевать регистрировать новые адреса. Но и здесь злоумышленников поджидает засада. Эксперты могут разобраться в том, как функционирует ботсеть, и не просто заблокировать некий сервер, а перехватить управление им – скажем, подав обоснованную заявку соответствующему хостинг-провайдеру.

Еще один вариант – децентрализованная пиринговая сеть: боты обращаются друг к другу или к специальным промежуточным узлам (контроллерам) в поисках определенной информации. К настоящим управляющим центрам напрямую они не обращаются, что затрудняет их выявление и блокировку.

Интересно, что такая структура ботнета позволяет заражать локальные сети с компьютерами, не имеющими выхода в Интернет. Достаточно, чтобы им обладал хотя бы один ПК – остальные будут заражены автоматически.

Собственно, синкхолинг (от англ. sinkhole, «водосточный колодец») – и есть технология перехвата управления ботнетом. Перехват проходит в несколько этапов. Сначала вирусные аналитики изучают код троянца. На втором этапе происходит регистрация собственного домена, к которому начнут обращаться боты. После этого остается лишь ждать, когда боты начнут выбирать для подключения именно этот сервер (или группу серверов). В общем, как на рыбалке.

Специалисты Damballa исследовали один из новых ботнетов, который использует алгоритм генерации доменов (domain generation algorithms, DGA) для установки новых C&C-серверов. После регистрации нескольких доменов трафик перенаправили на точку синкхолинга Georgia Tech Information Security Center (GTISC). Исследование продолжалось несколько недель.

Использование синкхолинга полностью правомерно. Более того, синкхолинг позволяет не только изучить бот-сеть, но и нарушить ее работу, переведя ботов на сервер, контролируемый исследователями или правоохранительными органами, а нередко еще и хостинг-провайдером, помогающим в расследовании. И естественно, все результаты перехвата доводятся до сведения полиции.

Специалистам компаний Abuse.ch, BrillantIT и Proofpoint удалось осуществить синкхолинг управляющей инфраструктуры сети EITest, состоящей из более чем 52 тыс. взломанных серверов.

EITest используется злоумышленниками для перенаправления пользователей на вредоносные сайты, страницы с эксплоит-китами, в том числе Angler и RIG, мошенническими схемами техподдержки и пр.

На подпольном рынке EITest появилась в 2011 году, и изначально ее операторы использовали сеть только для собственных целей – в основном перенаправления трафика на сайты с набором эксплоитов Glazunov, служащего для заражения устройств трояном Zaccess. На тот момент EITest не представляла особую угрозу, однако в 2013 году ее создатели начали перерабатывать структуру сети и годом спустя стали сдавать ее в аренду другим вирусописателям.

Согласно данным эксперта Proofpoint, известного как Kafeine, команда EITest начала продавать перехваченный трафик со взломанных сайтов по $20 за 1 тыс. пользователей.

В начале нынешнего года специалисты BrillantIT смогли раскрыть метод подключения инфицированных сайтов к управляющей инфраструктуре и перехватить домен stat-dns.com, что позволило им захватить контроль над всей операцией EITest. Ежедневно ботнет обрабатывал трафик с более чем 52 тыс. зараженных сайтов, в основном ресурсов на WordPress.

По словам исследователей, операторы EITest не пытаются восстановить контроль над сетью, не исключено, что они формируют новый ботнет. В настоящее время на подпольном рынке предлагаются услуги нескольких сетей для распространения вредоносного ПО, например, Fobos, Ngay и Seamless. Еще два игрока – Afraidgate и псевдоDarkleech – в последние несколько месяцев никак не проявляют себя.

https://www.securitylab.ru/news/492642.php

Анализ ботнета и захват управляющего сервера. Наши поздравления!

Есть у синкхолинга и недостаток: если промежуточных серверов много, то исследователи могут зарегистрировать на себя лишь часть из них. В этом случае говорить о полном контроле нельзя. Как нельзя оценить и реальный размер ботнета – известно только о той его части, которая находится под контролем.

А иногда оказывается, что ботнет изучают одновременно несколько групп исследователей:

Microsoft совместно с ФБР, крупными финансовыми организациями и другими ИТ-компаниями представили итоги операции по перехвату ботсетей Citadel. Сообщалось, что был получен контроль над 1000 ботнетами и изъяты 4000 доменных имен.

Как оказалось, часть доменных имен принадлежала исследователям ботсетей. Пострадал и один из самых известных специалистов по синкхолингу — швейцарский исследователь, которому принадлежит сайт Abuse.ch и известный трекер ботнетов, недосчитавшийся 7 июня более 300 доменов. Надо отметить, что подобная потеря происходит не в первый раз, ранее в результате операции против ботнетов ZeuS исследователь также потерял несколько сотен доменов.

http://wwhois.ru/news-kompaniya-microsoft-po-oshibke-zahvatila...

Используя возможности децентрализованной сети, исследователи могут перехватить и всю сеть целиком. Поскольку злоумышленники заинтересованы в поддержании устойчивости сети в условиях попыток ее уничтожения, им требуются обновления и возможность использования управляющих команд. Следовательно, через контролируемый сервер можно по всей сети отправить команду о подключении бота к нужному серверу или даже о деинсталляции троянца.

#ботнет #терминология

Dr.Web рекомендует

Синкхолинг отлично иллюстрирует слова: «Кто к нам с мечом придет, тот от меча и погибнет».

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: