Symantec: эксперимент с ботнетом

--> Дата: Ноя 4, 2013 31

Корпорация Symantec обнародовала информацию об одном из крупнейших современных действующих ботнетов – ZeroAccess. Его высокая устойчивость к средствам защиты основана на использовании пиринговых сетей. В августе 2013 г., по данным Symantec, в каждый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн зараженных компьютеров.

Специалисты компании Symantec провели лабораторные исследования, в ходе которых были определены принципы «общения» ZeroAccess-ботов друг с другом и найден эффективный способ обезвреживания бот-сети. Эксперты Symantec также оценили соотношение потенциальной прибыльности такого ботнета и затрат на его содержание – расходов на электроэнергию.

Ключевая особенность ботнета ZeroAccess – использование сетей peer-to-peer (P2P) для передачи команд управления и программных обновлений. Поскольку в данной архитектуре нет центрального сервера управления, нейтрализовать ботнет простым отключением нескольких серверов злоумышленников невозможно. После заражения вирусом ZeroAccess компьютер подключается к ближайшим компьютерам – пирам своей сети для обмена информацией о других таких же компьютерах. Таким образом, боты получают информацию друг о друге, что позволяет им в дальнейшем быстро и эффективно распространять команды управления и файлы.

Другая особенность ботнета ZeroAccess – поддержание постоянного взаимодействия между ботами своей сети. Каждый бот постоянно поддерживает соединение с другими ботами с целью обмена пир-листами и программными обновлениями, что делает угрозу крайне устойчивой к попыткам ее нейтрализации.

Еще в марте этого года инженеры Symantec начали изучать принципы взаимодействия ZeroAccess-ботов друг с другом для того, чтобы понять, как использовать технику синкхолинга (sinkholing) для его обезвреживания. В ходе исследования была выявлена уязвимость ботнета, которая позволяла провести синкхолинг. Дальнейшие испытания в лаборатории позволили экспертам найти действенный способ выведения пиров из-под контроля ботмастера. Одновременно продолжалось наблюдение за активностью ботнета, и в июне специалисты Symantec обнаружили, что через P2P-сеть идет распространение новой версии ZeroAccess. Обновленная версия содержала ряд изменений, главное из которых заключалось в устранении уязвимости, делавшей возможным синкхолинг ботнета.

16 июля специалисты компании начали операцию по захвату контроля над ботнетом, в результате которой очень быстро из-под контроля было выведено более полумиллиона ботов, что серьезно отразилось на работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после 5 минут P2P-активности.

Судя по структуре и поведению, ботнет ZeroAccess в первую очередь предназначен для доставки модулей «полезной нагрузки» на зараженные компьютеры, которые направлены на получение прибыли и делятся на два основных типа. Первый – троянец, загружающий на компьютер интернет-рекламу и сам же осуществляющий переход по рекламным ссылкам как обычный легитимный пользователь, зарабатывая таким образом деньги в партнерских программах типа pay-per-click (платить за клик, PPC).

Второй тип – Bitcoin mining. Виртуальная валюта представляет для злоумышленников особый интерес. Каждая виртуальная монета зарабатывается за счет выполнения компьютером ряда математических операций. Такой способ приносит ботмастеру прямую прибыль и обходится жертве в немалые суммы денег.

Эксперты Symantec изучили финансовые аспекты и результаты этих методов, использовав для этого устаревшее оборудование в лаборатории компании. Оценивали энергозатраты и финансовую выгоду использования подобных схем, при этом были рассмотрели и Bitcoin mining, и Click fraud, при особом внимании первому варианту как более энергозатратному и приносящему прямую прибыль ботмастеру. Сотрудники Symantec заразили троянцем ZeroAccess тестовый компьютер и перевели его в режим Bitcoin mining, помимо этого в распоряжении специалистов был также незараженный компьютер, работающий в режиме ожидания. Оба компьютера были подключены к ваттметрам для измерения уровня потребления энергии обеими системами. Результаты оказались такими: расход электроэнергии в час в режиме Bitcoin mining – 136,25 Вт, расход электроэнергии в час в режиме ожидания – 60,41 Вт, скорость работы системы – 1,5 MHash/S, курс обмена Bitcoin/долл. – 131.

Bitcoin mining на такой системе оказался бы крайне неуспешным занятием: за год непрерывной работы был бы заработан всего 41 цент! Но при наличии сети из 1,9 млн. ботов, ситуация кардинально меняется. Такой ботнет способен приносить ботмастеру тысячи долларов в день (в расчетах специалисты Symantec предположили, что все боты сети работают 24 часа в сутки и их производительность идентична производительности тестовой системы).

Боты в режиме Click Fraud также достаточно активны. В испытаниях Symantec каждый бот использовал примерно 257 Мбайт интернет-трафика в час, или 6,1 Гбайт в день, совершая около 42 переходов по рекламным ссылкам в час (1008 в день). Учитывая огромные размеры ботнета, злоумышленник может зарабатывать десятки миллионов долларов в год.

Для того чтобы оценить, во что ZeroAccess обходится не подозревающим о нем жертвам, сотрудники Symantec высчитали разницу в энергетических затратах между режимом ожидания и режимом Bitcoin mining. Эта разница в испытаниях Symantec составила 1,82 КВтч в день, что для отдельно взятой жертвы не выглядит слишком затратно. Но эти цифры дают представление о влиянии ZeroAccess на отдельно взятый компьютер, и можно представить стоимость и последствия деятельности ботнета, который насчитывает 1,9 млн. подобных систем.

Если 1 КВтч стоит $0,162, то 24 часа режима Bitcoin mining для одного бота обходятся в $0.29. Но для 1,9 млн расход электроэнергии составит 3458000 КВтч. Такое количество энергии эквивалентно $560887 в день и значительно превышает выработку крупнейшей электростанции в штате Калифорния – Мосс-Лендинг, которая производит 2484 МВт. При таком раскладе, если за электричество платят злоумышленники, Bitcoin mining оказывается экономически нецелесообразным предприятием, однако если он осуществляется за счет других, это делает предприятие крайне привлекательным.

Как показал эксперимент Symantec, несмотря на устойчивость P2P-архитектуры ботнета ZeroAccess, специалистам компании все же удалось отключить большую часть его ботов. Это означает, что эти боты больше не смогут получать команды от ботмастера, обновляться, а также осуществлять ту или иную вредоносную деятельность.

Сейчас Symantec работает вместе с интернет-провайдерами и группами реагирования по всему миру, для того чтобы распространять эту информацию и работать над очисткой зараженных компьютеров.