Symantec провела операцию по захвату одного из крупнейших ботнетов

Читайте также:

Корпорация Symantec представила информацию об одном из крупнейших современных ботнетов — ZeroAccess. Его высокая устойчивость к средствам защиты базируется, прежде всего, на использовании пиринговых сетей. Специалисты Symantec провели лабораторные исследования, в ходе которых были определены принципы «общения» ZeroAccess-ботов друг с другом и найден эффективный способ обезвреживания бот-сети, сообщили CNews в компании. Эксперты Symantec также оценили соотношение потенциальной прибыльности такого ботнета и затрат на его содержание — расходов на электроэнергию.

По данным Symantec в августе 2013 г. в каждый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн заражённых компьютеров. Ключевая особенность ботнета ZeroAccess — использование peer-to-peer (P2P) сетей для передачи команд управления и программных обновлений. И поскольку в данной архитектуре взаимодействия центрального сервера управления не существует, нейтрализовать ботнет простым отключением нескольких серверов злоумышленников невозможно. После заражения вирусом ZeroAccess компьютер первым делом подключается к ближайшим компьютерам-пирам своей сети для обмена информацией о других таких же компьютерах. Таким образом, боты получают информацию друг о друге, что позволяет им в дальнейшем быстро распространять команды управления и файлы.

Другой отличительной особенностью ботнета ZeroAccess является поддержание постоянного взаимодействия между ботами своей сети. Каждый бот постоянно поддерживает соединение с другими ботами с целью обмена пир-листами и программными обновлениями, что делает угрозу крайне устойчивой к попыткам её нейтрализации, рассказали в Symantec.

Ещё в марте этого года инженеры Symantec начали изучать принципы взаимодействия ZeroAccess-ботов друг с другом для того, чтобы понять, как использовать технику синкхолинга (sinkholing) для обезвреживания бот-сети. В ходе исследования они выявили уязвимость ботнета, которая позволяла, хоть и с большим трудом, осуществить синкхолинг. Эксперты провели дальнейшие испытания в лаборатории и нашли действенный способ выведения пиров из-под контроля ботмастера. Одновременно продолжалось наблюдение за активностью ботнета, и 29 июня специалисты Symantec обнаружили, что через P2P-сеть идёт распространение новой версии ZeroAccess. Обновлённая версия содержала ряд изменений, главное из которых заключалось в устранении уязвимости, делавшей возможным синкхолинг ботнета. Данная уязвимость ZeroAccess обсуждалась исследователями в отчёте, опубликованном в мае 2013 г., и именно это могло послужить причиной обновления ботнета, полагают в компании.

Таким образом, специалисты компании приняли решение 16 июля начать операцию по захвату ботнета, в результате которой очень быстро из-под контроля было выведено более полумиллиона ботов, что серьёзно отразилось на работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после 5 минут P2P-активности.

По мнению экспертов Symantec, ботнет ZeroAccess, судя по его структуре и поведению, предназначен для доставки модулей «полезной нагрузки» на заражённые компьютеры, которые направлены на получение прибыли и делятся на два основных типа.

Первый тип — Click fraud. Троян загружает на компьютер интернет-рекламу и сам же осуществляет переход по рекламным ссылкам как обычный легитимный пользователь, зарабатывая таким образом деньги в партнёрских программах типа pay-per-click (платить за клик, PPC).

Второй тип — Bitcoin mining. Виртуальная валюта представляет для злоумышленников особый интерес. Каждая виртуальная монета зарабатывается за счёт выполнения компьютером ряда математических операций. Такой способ приносит ботмастеру прямую прибыль и обходится жертве в немалые суммы денег.

Эксперты Symantec изучили энергозатраты и финансовую выгоду от применения схем Click fraud и Bitcoin mining, использовав для этого устаревшее оборудование в лаборатории компании.

«Bitcoin mining оказался бы крайне неуспешным занятием: за год непрерывной работы был бы заработан всего 41 цент. Но если в вашем распоряжении находится 1,9 млн ботов, то ситуация кардинально меняется», — заявили в компании. Такой ботнет способен приносить ботмастеру тысячи долларов в день. Конечно, это всего лишь приблизительные данные — в своих расчётах специалисты Symantec предположили, что все боты сети работают 24 часа в сутки и их производительность идентична производительности тестовой системы (Dell OptiPlex GX620 Pentium D 945, 3,4 ГГц, 2 ГБ ОЗУ (максимальное значение TDP — 95 Вт)).

Боты в режиме Click Fraud также достаточно активны. В испытаниях экспертов Symantec каждый бот использовал примерно 257Мб интернет-трафика в час, или 6,1Гб в день, совершая около 42 переходов по рекламным ссылкам в час (1008 в день). И хотя каждый клик может приносить лишь долю цента, злоумышленник может зарабатывать десятки миллионов долларов в год, учитывая огромные размеры ботнета, полагают эксперты.

Для того чтобы оценить, во что ZeroAccess обходится ни о чем не подозревающим жертвам, сотрудники Symantec высчитали разницу в энергетических затратах между режимом ожидания и режимом Bitcoin mining. В испытаниях Symantec разница составила 1,82 КВт⋅ч в день, что для отдельно взятой жертвы не выглядит слишком затратно. Таким образом, можно представить последствия деятельности ботнета, который насчитывает 1,9 млн подобных систем — расход электроэнергии в 3458000 КВт⋅ч. Такое количество энергии эквивалентно $560,9 тыс. в день. При таком раскладе Bitcoin mining оказывается экономически нецелесообразным предприятием. Однако если он осуществляется за счёт других, это в корне меняет картину и делает такое предприятие крайне привлекательным, отметили в Symantec.

В целом, несмотря на устойчивость P2P-архитектуры ботнета ZeroAccess, специалистам Symantec все же удалось отключить большую часть его ботов. Это означает, что эти боты больше не смогут получать команды от ботмастера, обновляться, а также осуществлять ту или иную вредоносную деятельность. Сейчас Symantec работает вместе с интернет-провайдерами и группами реагирования по всему миру, для того чтобы распространять эту информацию и работать над очисткой заражённых компьютеров.

Источник: http://safe.cnews.ru/news/line/index.shtml?2013/10/16/546327

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Symantec провела операцию по захвату одного из крупнейших ботнетов | | 2013-10-16 15:45:00 | | Статьи об Интернет безопасности | | Читайте также:Корпорация Symantec представила информацию об одном из крупнейших современных ботнетов — ZeroAccess. Его высокая устойчивость к средствам защиты базируется, прежде всего, на | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: