Ewolucja zombie i botnetowy biznes

RYS HISTORYCZNY

Historia botnetów rozpoczęła się w latach 1998-1999, gdy pojawiły się pierwsze backdoory - NetBus oraz BackOrifice2000. Zawierały one pełny zestaw funkcji, które umożliwiają zdalne zarządzanie zainfekowanymi komputerami. Działały jak serwery sieciowe - otwierały predefiniowany port i biernie czekały na połączenie się osoby kontrolującej.

Boty następnej generacji łączyły się już z serwerami IRC (ang. Internet Relay Chat) na predefiniowanym kanale jako goście, gdzie czekały na wiadomości od właściciela sieci zombie. Tak powstały pierwsze scentralizowane botnety, które później określono jako C&C (ang. Command & Control Center).

Kolejny etap ewolucji botnetów charakteryzował się przeniesieniem centrów kontroli do sieci WWW. Najpierw hakerzy opracowali narzędzia do zdalnej kontroli serwerów oparte na popularnych silnikach skryptowych, takich jak Perl oraz PHP. Potem powstała metoda, dzięki której komputer znajdujący się w sieci lokalnej mógł połączyć się z serwerem w internecie. Botnety zorientowane na sieć okazały się tak wygodnym rozwiązaniem, że do dziś cieszą się dużą popularnością.

Próbowano konstruować także botnety kontrolowane za pomocą usług IM (ang. Instant Messenger). Takie botnety nigdy się jednak szeroko nie rozpowszechniły, głównie dlatego, że wymagają utworzenia kont IM. Ciężko jest automatycznie zarejestrować dużą liczbę kont, ponieważ chroniące przed tym systemy są nieustannie modyfikowane.

Po wypróbowaniu wszystkich dostępnych protokołów osoby tworzące sieci zombie zainteresowały się architekturą sieciową. Okazało się, że botnety o klasycznej strukturze (tj. z dużą liczbą botów i jednym centrum kontroli) są bardzo podatne na ataki, ponieważ opierają się na krytycznym węźle - centrum kontroli. W zeszłym roku powstały pozbawione go botnety P2P. Tutaj właściciel sieci może wysłać polecenie do jednego tylko komputera-zombie, a boty automatycznie roześlą je po całym botnecie.

BOTNETY P2P

Najbardziej jaskrawym przykładem sieci tego typu jest botnet robaka Storm. Laboratoria antywirusowe od stycznia 2007 roku wykrywają od trzech do pięciu nowych wariantów tego szkodnika dziennie (Kaspersky Lab klasyfikuje go jako Email-Worm.Win32.Zhelatin).

Szacunki dotyczące rozmiaru stworzonej przez niego sieci wahają się od 50 tys. do 10 mln komputerów-zombie. Przypuszcza się, że oprócz masowego rozsyłania spamu botnet ten został użyty w wielu przeprowadzonych na dużą skalę atakach DDoS. Według niektórych ekspertów jest on odpowiedzialny za cyberatak na Estonię w 2007 roku.

Innym interesującym botnetem jest Mayday. Szkodnik, klasyfikowany przez laboratoria Kaspersky Lab jako Backdoor.Win32.Mayday, został wykryty pod koniec listopada 2007 roku, od tego czasu powstało ponad 20 jego mutacji. Tworzony przez niego botnet opiera się na architekturze P2P, jednocześnie zawiera jednak centrum C&C wykorzystujące mechanizm określany jako CGI (ang. Common Gateway Interface).

Na całym świecie wykryto sześć różnych serwerów (w Wielkiej Brytanii, Stanach Zjednoczonych, Holandii i Niemczech), z którymi łączyły się boty podczas tworzenia botnetu. Na początku marca 2008 roku działał tylko jeden serwer, na którym było zarejestrowanych około 3 tys. botów.

We współpracy z organami ścigania Kaspersky Lab zdołał uzyskać kopię programu wykorzystywanego w centrum C&C. Analiza jego struktury wykazała, że był to poważny projekt rozwojowy, który wymagał dobrze zorganizowanego zespołu programistów. Aby stworzyć oprogramowanie dla botnetu Mayday, cyberprzestępcy musieli pracować nad dwoma projektami - zarówno dla systemu Windows, jak i Linux.

BOTNETOWY BIZNES

Odpowiedzi na pytania, dlaczego botnety nadal ewoluują, dlaczego stanowią coraz poważniejsze zagrożenie, należy szukać na czarnym rynku, który powstał dla takich programów. Aby zdobyć botnet, cyberprzestępcy nie potrzebują dziś ani specjalistycznej wiedzy, ani dużych pieniędzy.

Pierwszą rzeczą, niezbędną do stworzenia sieci zombie, jest bot, tj. program, który bez wiedzy użytkownika potrafi zdalnie wykonywać pewne czynności na jego komputerze. Ceny botów wahają się od 5 do 1000 dolarów w zależności od skali botnetu oraz tego, czy jest on wykrywany przez produkty antywirusowe, jakie polecenia obsługuje itd.

Prosty botnet zorientowany na sieć wymaga strony hostingowej, na której może zostać zlokalizowane centrum C&C. Dostawcy anonimowych usług hostingowych gwarantują zwykle, że do plików dziennika nikt nie uzyska dostępu, łącznie z organami ścigania.

Po stworzeniu strony C&C potrzebne są komputery zainfekowane przez bota. Można zakupić gotową sieć, w której zainstalowany jest bot jakiejś innej osoby. Ponieważ kradzież botnetów jest powszechną praktyką, większość kupujących woli wymienić zarówno szkodliwe programy, jak i centra C&C na swoje własne.

Stworzenie nowego botnetu również nie jest trudne - dostępne są narzędzia ułatwiające to zadanie. Najpopularniejsze z nich to pakiety oprogramowania, takie jak Mpack, Icepack i WebAttacker. Infekują one systemy użytkowników, którzy odwiedzają odpowiednio spreparowaną stronę internetową za pośrednictwem luk w zabezpieczeniach przeglądarek.

Właściciele botnetów wykorzystują poza tym szereg różnych metod w celu zachowania kontroli nad swoimi sieciami, z których najbardziej skuteczną jest ochrona szkodliwych programów przed wykryciem. Czarny rynek oferuje szereg różnych usług związanych z szyfrowaniem, pakowaniem i zaciemnianiem złośliwego kodu.

Powstrzymanie rozwoju przemysłu botnetowego w tym momencie nie jest możliwe - twierdzą eksperci z zakresu bezpieczeństwa. Cała treść artykułu, autorstwa starszego analityka wirusów Witalija Kamluka, dostępna jest w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.