Читаем Журнал «Компьютерра» № 17 от 8 мая 2007 года полностью

Вторит экспертам и TrendMicro, исследователи которой, изучив криминальную обстановку в Сети в 2006-м, считают, что в текущем году инструментарий для криминальных атак будет состоять преимущественно из комбинированного ПО, оснащенного средствами маскировки и защиты от систем сетевой безопасности, а практика использования преступными группировки ботнетов получит еще большее распространение. Это, в свою очередь, повысит спрос на вирусы, троянцы и spyware, позволяющие «рекрутировать» в сети зомби новые компьютеры, и укрепит альянс между спамерам, разрабатывающими вредоносное ПО, фишерами и прочими представителями интернет-криминалитета.

Децентрализация

$50 000 за эксплойт

Департамент ФБР, занимающийся хакерами и прочими киберпреступниками, по количеству сотрудников уступает только подразделениям, ведающим разведкой и борьбой с терроризмом. По данным этого департамента, основная преступная активность сосредоточена в странах Восточной Европы, в том числе России. Но больше отличился за последнее время все же румынский онлайн-сегмент, где на одном из хакерских форумов за $50 тысяч уже предлагался эксплойт под Windows Vista, позволяющий создать ботнет.

Традиционной средой для организации ботнетов являются IRC-серверы. После заражения компьютера вирус инсталлирует программу-робота, которая через заданные промежутки времени обращается к одному или группе IRC-серверов за командами так называемого мастера, то есть лица, управляющего ботнетом. Такая схема предусматривает взаимодействие всех ботов с одним центральным звеном, что делает сеть уязвимой, поскольку удаление сервера полностью нейтрализует ботнет.

Однако в декабре 2006 года выяснилось, что злоумышленникам удалось решить эту проблему. Специалисты SecureWorks обнаружили в Интернете нового троянца SpamThru, который объединяет компьютеры-зомби по принципу децентрализации. В создаваемом таким образом ботнете каждый участник получает информацию о других, и если управляющий сервер вдруг отключается, достаточно дать одному из ботов координаты нового источника команд, чтобы возобновить работу. Устойчивость ботнетов в этом случае заметно возрастает, и представители MessageLabs полагают, что в текущем году пиринговые зомби будут интенсивно плодиться. Также специалисты компании соотносят появление SpamThru, который, по их сведениям, был запущен в октябре прошлого года, со скачком спам-трафика в тот же период.

Получив доступ к файлам командного сервера, в SecureWorks выяснили, что разработчики SpamThru, по всей видимости, родом из России. Об этом свидетельствуют имена файлов и текст исходного кода. Также удалось выявить структуру сформированного ботнета. Сеть состоит из 73 тысяч инфицированных компьютеров, которые распределяются между портами сервера в зависимости от модификации SpamThru и группируются в пиринговые сегменты – по 512 машин в каждом. География зараженных зомби тоже впечатляет. Компьютеры ботнета обнаружены в 166 странах, хотя более половины все же сосредоточены на территории США. Интересно, что около половины ботов были установлены на компьютерах, работающих под управлением Windows XP SP2. Так что интерес Microsoft к этой угрозе вполне оправдан. Штат отдела корпорации по борьбе с ботнетами – Internet Safety Enforcement, в котором раньше работало только три человека, недавно был расширен до 65 сотрудников, а представитель Microsoft отметил, что в 2007 году ботнеты станут одной из самых серьезных проблем безопасности в Интернете.

Дабы укрепить неуязвимость ботнета, его владельцы установили беспрецедентно высокую частоту обращений ботов при сбое или отказе сервера – до 3 млн. запросов в сутки. Троян также занимается сбором почтовых адресов с винчестеров зараженных машин для формирования спамерской базы. Кроме того, на сервере был найден софт для взлома сайтов финансово-новостной тематики. Причем целью взломщика тоже служили списки почтовых адресов, по которым впоследствии рассылалась реклама биржевых услуг. Генерируются спам-письма по шаблонам, позволяющим избежать обнаружения большинством распространенных фильтров. Сообщения включают как текст, так и картинки со случайным набором пикселов. Дабы не попасть в спам-списки, хакеры наладили циркуляцию в ботнете регулярно обновляемого списка прокси-серверов, доступного всем ботам.

Грабь награбленное

Большие сети компьютеров-зомби формируются, как правило, вследствие распространения червей, использующих свежую уязвимость или просто талантливо (в определенном смысле) написанных, так что создать свой ботнет "на ровном месте" могут немногие. И те, кто не в состоянии сформировать сеть с нуля, но испытывают в ней настоятельную потребность, иногда приобретают уже готовый ботнет или «уводят» его у своих "коллег". Для этих целей даже разработаны специальные хакерские утилиты.

В поисках особого пути