12 лет назад 28 августа 2012 в 0:03 1637

В конце мая 2012 года представители Белого дома заявили о начале крупномасштабных действий по борьбе с таким явлением, как бот-сети. Речь в сообщении шла о согласованных и скоординированных усилиях по борьбе с этим новым бичом божьим.

Члены Industry Botnet Group (IBG, industrybotnetgroup.org), организации, созданной зимой 2012 года для борьбы с бот-сетями, решили самым активным образом обмениваться информацией и обучать заинтересованные стороны методам противодействия этой напасти. Представители IBG при поддержке департамента США по национальной безопасности, Федеральной торговой комиссии США и Национального альянса кибербезопасности начинают кампанию под девизом, который можно вольно перевести так: «Сохраним машину в чистоте» (Keeping a Clean Machine).

Тяжелая артиллерия введена в бой не случайно, ибо локальными заплатками, похоже, решить проблему уже невозможно. Да и как не объявить войну, если сегодня, по оценке Майкла Де Чезаре (Michael DeCesare), сопрезидента по безопасности McAfee, только в США заражено порядка 5 млн компьютеров, что составляет около 10% национального компьютерного парка.

Как сказал от имени IBG Лисил Франц (Liesyl Franz), вице-президент по политике кибербезопасности компании TechAmerica, «ни один субъект уже не может бороться с этими вызовами безопасности в одиночку». Его точку зрения вполне разделяет Ховард Шмидт (Howard Schmidt), координатор по кибербезопасности администрации Обамы: «Проблема ботнетов важнее, чем какая-либо индустрия или страна». Утверждение, возможно, и спорное, но все же.

Ботнет – это сеть зараженных компьютеров, то есть компьютеров, находящихся под внешним управлением или под управлением зловредного программного кода, внедренного в систему.

Поскольку дело действительно нешуточное – раз уж вызвало обеспокоенность даже чиновников в Белом доме, – давайте хотя бы в общих чертах ознакомимся с тем, что же это за новая мировая угроза, на борьбу с которой вострят копья даже мало кого боящиеся американские империалисты.

Ботнет – как явствует из названия – это сеть зараженных компьютеров, то есть компьютеров, превращенных в роботов (bot), находящихся под внешним управлением или под управлением зловредного программного кода, внедренного в систему тем или иным способом. Определение, конечно, не претендует на абсолютную точность, но позволяет понять общую идею. «Чистый компьютер» (воспользуемся термином, на котором настаивает IBG) находится под управлением программного обеспечения – системного и прикладного, – в ходе функционирования которого юзер вносит те или иные коррективы (в частности, когда пользуется какой-то программой или же осуществляет настройку операционной системы). Ни компьютер как таковой (представляющий из себя, в сущности, груду пластика и металла), ни операционная система не имеют ни малейшего представления о том, что ход работы определяет и задает человек.

На системном уровне есть только команды центрального процессора и более ничего. Поэтому центральному процессору, собственно, безразлично, кто ему послал ту или иную команду. Команда получена, надо ее выполнить.

Подключенный к сети компьютер обменивается служебной информацией с сетью: может передавать потоки данных (например, во время FTP-сеанса), может получать данные, в том числе и команды. Никакого криминала в этом нет, пока выполняется одно условие, а именно: все эти операции должны осуществляться с санкции хозяина компьютера. Обычно для этого необходимо ввести логин и пароль. Однако, понятное дело, логин и пароль теоретически можно подобрать и получить удаленный доступ к компьютеру без ведома хозяина.

Получив доступ, взломщик может загрузить на взломанный ПК специальную программу, которая в дальнейшем под чутким руководством злоумышленника позволит удаленно делать с компьютером все что угодно: скачивать с него любые файлы, загружать и запускать программы, редактировать реестр. Такие софтины, которые как бы предоставляют своему автору возможность открыть «заднюю калитку» в чужой компьютер, получили общее название Backdoor. Наиболее известны бэкдоры NetBus и BackOrifice2000, поразившие компьютерный мир в 1998-1999 годах.

Недостаток бэкдоров заключался в том, что их владелец сам должен был индивидуально подключаться к взломанному компьютеру для проведения тех или иных манипуляций с ним. Когда взломана пара-тройка компьютеров, особой проблемы нет. А если речь пойдет о десятках, сотнях, а то и тысячах? Само собой, явилась идея о том, что было бы удобно таким образом модифицировать бэкдор, чтобы взломанный компьютер сам выходил на связь в момент подключения к сети.

Например, чтобы десятки зараженных компьютеров самостоятельно подключались к компьютеру хозяина, который видел бы их online, при помощи какого-нибудь сетевого протокола типа Telnet. Такую сеть зараженных компьютеров было организовать тем проще, что уже с начала 90-х существовал протокол IRC (Internet Relay Chat), позволявший обмениваться сообщениями в режиме реального времени.

Таким образом, вся технология создания первых ботнетов заключалась в следующем: необходимо было каким-то образом внедрить вредоносный код (основу которого составлял бэкдор), после чего этот код при каждом сеансе связи подключал зараженную машину к некоей IRC-сети, а владелец этой сети «видел» все включенные в нее машины. Соответственно, хозяин сети через установленный IRC-канал мог посылать зараженным машинам – их несколько театрально стали называть машины-зомби – команды, причем как всем зомби сразу, так и каждому в отдельности.

Подобные IRC-сети (т. е. первые ботнеты) еще не представляли такой угрозы, чтобы на них обратили внимание в администрации Белого дома. Зато, как вспоминают старожилы, IRC-сетями заинтересовались другие злодеи. В полном соответствии со святой заповедью всякого вора – про смену признака владения дубинкой – некоторые злоумышленники «воровали» сами IRC-сети, которые в поте лица создавали другие злоумышленники. Для этого похититель искал IRC-канал, где было очень тесно от посетителей (что всегда подозрительно), анализировал причину такой активности, перехватывал управление и становился новым владельцем. Всего и делов-то.

Прежде чем мы двинемся дальше в изучении истории и принципов функционирования современных ботнетов, зададимся вопросом: а что такого «полезного» может дать ботнет своему хозяину, чтобы стоило тратить силы на его создание, поддержку и модификацию? Более детально с криминальной индустрией зомби-сетей мы познакомимся в отдельной статье, а сейчас «галопом по Европам» коснемся основных фишек. Итак, что же может осуществить злоумышленник, имея в руках ботнет, в который включены тысячи компьютеров?

Первое, что приходит на ум, – это, разумеется, старый добрый спам. Как считают эксперты из уважаемой «Лаборатории Касперского», сегодня более 80% спама рассылается при помощи ботнетов. Среднестатистический спамер зарабатывает своим ремеслом около $100 000 в год. Впрочем, некоторые считают, что эта цифра сильно занижена.

Ботнеты широко используются также для проведения DDoS-атак (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»). В ходе атаки тысячи зараженных машин, включенных в зомби-сеть, отправляют ложные запросы на конкретный сервер, перегружая его и делая недоступным для пользователей. Иногда целью атаки является шантаж – за некую мзду хозяин ботнета готов «решить возникшие проблемы» хозяина сервера, подвергшегося атаке.

Нередки также и случаи выведения из строя социальных сетей, с тем чтобы мешать активным массам пользователей координировать свои действия (многие уверены, что неполадки в российском сегменте известного блог-сервиса LiveJournal.com накануне массовых выступлений оппозиции связаны с DDoS-атаками правительственных служб).

Также ботнеты служат для следующих видов киберпреступлений: фишинг, т. е. подмена страниц для получения, например, номеров кредитных карт; анонимный удаленный взлом, когда несанкционированный доступ к веб-сайтам или воровство денежных средств со счетов осуществляется через зараженные машины, входящие в ботнет; кража конфиденциальных данных, наконец, владельцы ботнетов могут сдавать в аренду или продавать свои сети (например, для осуществления тех же DDoS-атак).

Но продолжим рассказ об истории ботнетов. Думаю, нет ничего странного в том, что с ростом интернета злоумышленники, занимающиеся ботнетами, перенесли свои усилия во Всемирную паутину. Первоначально средства удаленного управления стали разрабатываться на основе популярных языков Perl и PHP. Оно (управление) основывалось на установлении HTTP-соединения с сервером. Таким образом, стали появляться веб-ориентированные ботнеты. Они хороши тем, что управление ими не обязательно осуществлять через компьютер как таковой. Для доступа к веб-ориентированным ботнетам подойдет любое мобильное устройство с выходом в интернет, поддерживающее WAP / GPRS, да хотя бы тот же мобильный телефон.

В процессе создания ботнетов разработчики (будем называть их этим термином, хотя правильнее называть их бандитами) пришли к выводу, что классическая топология ботнета – один управляющий центр с множеством подключенных зомби-машин – в высокой степени уязвима. Достаточно соответствующим службам, борющимся с киберпреступностью, вычислить и заблокировать управляющий центр, как вся бот-сеть становится потерянной для хозяина.

Таким образом, киберпреступники естественным образом пришли к идее построения ботнетов на основе децентрализованных сетей p2p (peer-to-peer). Первый крупный проект ботнета на основе p2p появился в 2007 году. Он вошел в историю под названием «Штормовой ботнет» и доставил немало головной боли службам, борющимся с подобными творениями «человеческого гения». Однако поговорим мы об этом в следующей статье. UP

Продолжение следует…

Никто не прокомментировал материал. Есть мысли?

Проблема и вправду серьезная и требует какого-то решения. Будем ждать решения и продолжения статьи…