Специалисты по сетевой безопасности и блюстители правопорядка одержали ряд побед над ботнетами с централизованной инфраструктурой – теми, что используют C&C серверы для обмена с ботами, кражи пользовательских данных или подачи команд. Обезвредить пиринговый ботнет гораздо сложнее, и новое исследование это подтверждает.

Группа экспертов из германского института проблем интернет-безопасности, амстердамского Свободного университета и американских security-компаний Dell SecureWorks и Crowdstrike проследила эволюцию р2р-ботнетов и произвела оценку их жизнестойкости. Инфраструктура первого поколения этих бот-сетей, таких как Waledac и Storm, была, по мнению исследователей, еще далека от совершенства и достаточно уязвима. Их преемники, построенные, например, на основе Sality или р2р-модификации ZeuS, намного более устойчивы к внедрению подставных участников сети (sinkholing), чужеродным инъекциям и другим давно известным методам перехвата контроля.

Некоторым ботнетам с более развитой пиринговой инфраструктурой удалось благополучно пережить несколько попыток свержения. Ярким примером такой живучести может служить Kelihos, он же Hlux. Одноименный зловред, как и многие другие боты, предназначен, в первую очередь для рассылки спама, однако в ходе своей эволюции научился также красть все, что может представлять интерес для киберкриминала, от персональных идентификаторов до кошельков Bitcoin. Попытку нейтрализации одной из версий ботнета  Kelihos недавно вживую продемонстрировал Тилльманн Вернер (Tillmann Werner), завоевав внимание всех участников конференции RSA.

«Многие р2р-ботнеты намного устойчивей к попыткам ликвидации, чем ботнеты с централизованным управлением, так как у них нет обособленных точек отказа», — поясняют исследователи в своем отчете.

В ботнетах с пиринговой инфраструктурой боты общаются друг с другом, а не с головным сервером. Нередко в таких бот-сетях используются кастомизированные протоколы передачи данных, причем для анализа этого трафика требуется расшифровка. По словам исследователей, попытки определить численность р2р-ботнета в большинстве случаев терпели неудачу. В интересах исследования эксперты создали модель, способную пробить защиту от анализа вредоносного кода, от sinkholing и расчленения сети на бесполезные сегменты.

Чтобы установить размеры контрольных ботнетов, исследователи запустили поисковые роботы и внедрили в сетях специальные сенсоры. Как оказалось, некоторые из этих ботнетов насчитывают более 1 млн. зараженных машин. Тем не менее, полученные цифры могут быть сильно занижены: «пауки» не умеют проникать за прокси-серверы и сетевые экраны.

Согласно результатам исследования, наиболее защищенными являются ботнеты, построенные на основе Sality и р2р-модификации ZeuS. Жизнестойкость Sality обеспечивает система оценки репутации пиров, ZeuS – черные списки sinkhole-серверов. Другие ботнеты используют с этой целью запасные C&C каналы, технологию динамической перерегистрации IP-адресов (fast flux) и DGA-алгоритмы. Последние применяют ботоводы TDSS/TDL-4 и – с недавних пор – Pushdo.

Наиболее уязвимым к sinkholing оказался Kelihos. В качестве резервного канала связи его боты используют fast-flux домены, причем в каждой версии бота содержится индивидуальный, жестко заданный резервный домен. Исследователи обнаружили, что могут легко подменять списки пиров на ботах, распространяя адрес sinkhole по ботнету. «Поскольку ботнет, построенный на Kelihos v3, использует р2р протокол и архитектуру, уже известные по версиям 1 и 2, полномасштабные атаки по типу sinkholing, как и прежде, обречены на успех», – заключают эксперты.

Репутационная схема Sality, напротив, устойчиво поддерживает ботнет на плаву. Чтобы успешно выполнить свою миссию, sinkhole-серверам приходится создавать себе в бот-сети безупречную репутацию. У Sality нет запасных C&C, для восстановления он использует ранее загруженные вредоносные файлы.

ZeroAccess почти ежесекундно обновляет списки пиров, сверяет их с прежними и в итоге сохраняет 256 наиболее свежих адресов. Чтобы сохранить актуальность sinkhole-адресов, исследователям придется буквально наводнить ботнет своими рассылками. Как и Sality, ZeroAccess может восстановить свой статус с помощью ранее загруженных плагинов.

«Боты можно изолировать, разослав им список пиров с ложными записями и свежими временными метками. Два варианта ZeroAccess используют разные протоколы обмена списками пиров, – комментируют исследователи. – Версия 1 обменивается списками лишь по запросу. Перехват контроля над пирами в такой бот-сети потребует отправки ложного списка с sinkhole при каждом запросе».

Что касается р2р-варианта ZeuS, его можно обезоружить, атакуя рабочие узлы, не имеющие прямого подключения к интернету. Им можно скармливать видоизмененные списки пиров, прописав в них IP-адрес sinkhole.

«Хотя наше исследование показало, что некоторые р2р-ботнеты обладают высокой жизнестойкостью, мы также обнаружили, что все реальные пиринговые ботнеты можно обезоружить, применяя хотя бы один из учтенных в нашей модели способов, – говорится в отчете. –  Тем не менее, применение существующих техник перехвата к новым р2р-ботнетам – задача не из легких, требующая, прежде всего, хорошего знания C&C протокола, используемого в каждой сети. Кроме того, атака на бот-сеть, объединяющую миллионы пиров, потребует значительных ресурсов, и мобилизовать их, возможно, придется надолго. Мы убеждены, что настало время искать альтернативные методы борьбы с р2р-ботнетами».

В заключение хотелось бы привести еще одну цифру. Согласно статистике Damballa, за последний год общее количество ботов по всем р2р-сетям увеличилось в 5 раз. Самой большой популяцией располагают ботнеты на базе ZeroAccess.

Категории: Аналитика, Главное