Читаем Журнал "Компьютерра" №789-790 полностью

Но как бы там ни было, логично или не очень, однако в реальной жизни подобные акты массового самоуничтожения ботнетов действительно случаются. И сравнительно недавно одно из таких «теоретически маловероятных» происшествий имел | возможность воочию наблюдать Роман Хюсси (Roman Hussy), молодой швейцарский специалист по компьютерной безопасности, автор и постоянный ведущий известного в профессиональных кругах вебсайта ZeusTracker (zeustracker.abuse.ch).

Хюсси и его сайт получили известность благодаря тому, что ZeusTracker на регулярной основе отслеживает длиннющий список серверов, использующих криминальный хакерский набор Zeus. To есть программный инструментарий, в разной комплектации продаваемый на черном рынке за сумму от 700 до 4000 долларов и используемый для построения ботнетов, заражающих компьютер троянцем для похищения паролей и прочей ценной информации, Одна из отличительных особенностей Zeus — это способности к полиморфизму, благодаря которым каждый конкретный вариант бота, установленного на компьютере-жертве, заметно отличается от собратьев, установленных в других машинах. Эта особенность существенно затрудняет обнаружение инфекции антивирусными средствами.

Среди множества возможностей Zeus имеется команда «kos», означающая kill operating system, то есть «убить операционную систему". Файл помощи, распространяемый в комплекте с набором Zeus, содержит примерно такое пояснение к работе данной функции: «kos — вывести из строя ОС, а именно уничтожить ветви реестра HKEY_CURRENT_USER и/ или HKEY_LOCAL_MACHINE». После того как уничтожение завершено, бот начинает полное обнуление виртуальной памяти системы. Как показывают эксперименты, в результате отдачи такой команды исследователями в лабораторных условиях наиболее вероятным итогом становится B.S.O.D, то есть «синий экран смерти» системы. Аналогичные по назначению команды имеются и в других ботнетах, однако kos из арсенала Zeus расценивается как одна из наиболее тяжелых по своим разрушительным последствиям.

В апреле этого года Роман Хюсси начал отслеживать работу одного из центров управления Zeus, получавшего данные, похищаемые с более чем ста тысяч инфицированных систем, расположенных главным образом в Польше и Испании, В процессе наблюдения за этим недавно обнаруженным С&С, Хюсси отметил нечто совершенно небывалое: для всех зараженных машин зомби-сети вдруг прошла команда «убить ОС». По свидетельству наблюдателя, у него нет ни малейшего понятия, по какой причине ботнет столь неожиданно был разрушен самими хозяевами.

Гипотез на этот счет было выдвинуто сколько угодно. Сам Хюсси полагает, что, быть может, данный ботнет захватила другая преступная группа и в результате зараженные компьютеры стали жертвой междоусобных разборок. С другой стороны, многие кибер-преступники, использующие удобный набор Zeus, не слишком опытны во всех этих хакерских хитростях, и может быть так, что люди, контролировавшие работу данной сети, просто не очень хорошо понимали, что делают. Наконец, одна из правдоподобных версий произошедшего предполагает, что злоумышленники, возможно, избрали столь радикальный вариант команды с той целью, чтобы обеспечить себе побольше времени для реализации похищенного и заметания следов.

Конкретно в данном случае ни Хюсси, ни его сайт ZeusTracker ничем не могли помочь владельцам пострадавших от «убийства» машин. Во множестве же других случаев постоянно обновляемые списки ZeusTracker оказываются весьма серьезным подспорьем при «лечении» скомпрометированных серверов и в борьбе с криминальными ботнетами.

Однако, как постоянно подчеркивают все эксперты по компьютерной безопасности, самое эффективное сопротивление росту зомби-сетей могут и должны оказывать сами владельцы машин — внимательно следя за обновлениями используемых программ, регулярно сканируя систему на предмет известных инфекций и просто соблюдая элементарные меры «сетевой гигиены» при подключении к Интернету. ■

ОСОБЕННОСТИ АРХИТЕКТУРЫ

|Сегодняшння классификация ботнетов очень проста. По существу, 'в ее основу попожены всего два важных параметра — архитектура ботнетов и протоколы, используемые для их управпения. Поскольку с точки зрения угона ботнета важнейшим его параметром является архитектура, рассмотрим этот аспект подробнее.

Архитектуру ботнетов обычно подраздепяют на два основных типа — с централизованной и с децентрапизованной топопогией. Иногда добавляют еще один, смешанный тип, объединяющий в себе черты двух первых, однако ничего принципиапьно нового в нем нет.

В ботнетах с централизованной топологией, или, иначе, с единым центром управления, именуемым С&С (от Command & Control Centre), все зомби-компьютвры подсоединяются строго к одному главному узлу. Центр управления следит за состоянием подкпюченных ботов, накаплива-ет собираемые ими данные и выдает команды, а также постоянно ожидает подключения новых ботов, регистрируя их в своей базе. Для управления