Неделю назад Microsoft объявила, что ей удалось дестабилизировать P2P-ботнет ZeroAccess, однако некоторые эксперты не торопятся сыпать конфетти по этому поводу. На счету Microsoft много успешных побед над ботнетами с централизованным управлением, однако похоже, что P2P-сеть оказалась ей не по зубам. В частности, борцы с ботнетами из Damballa отмечают, что громкая акция против ZeroAccess нарушила лишь click-fraud-функцию ботнета, не затронув внутренний протокол, используемый злоумышленниками для рассылки команд и обновлений.

По словам исследователей, ботоводы могут просто загрузить на сеть другой конфигурационный файл, и через короткое время ботнет заработает снова. Да и сама блокировка click-fraud-компонента оказалась далеко не полной: по оценке Damballa, около 62% этой инфраструктуры по-прежнему активно. «Даже без учета возможности апдейта по P2P-каналам можно утверждать, что схема монетизации ботнета по большей части не пострадала», — комментируют руководитель исследовательских проектов Damballa Манос Антонакакис (Manos Antonakakis) и докторант Технологического института Джорджии Ясин Наджи (Yacin Nadji).

Наджи заявил Threatpost, что операторы ZeroAccess смогут быстро восстановить потери: им придется лишь прикупить новые серверы и домены, а затем обновить информацию в текстовом файле. Он также отметил, что рассылка новых конфигурационных файлов обойдется ботоводам гораздо дешевле, чем восстановление сети с нуля. «Если отключить click-fraud-компонент, не нарушая пиринговую инфраструктуру, ботоводы смогут ее использовать для рассылки обновлений, сказав: «Ладно, забудьте эту click-fraud-инфраструктуру, вот вам другая», — поясняет Наджи.  Ботоводы ведь не потеряли возможность связываться с пирами. Любой security-специалист, знакомый с этим ботнетом, сразу мог бы сказать, что такая акция ничего не даст».

Практика показывает, что обезвредить P2P-ботнет, такой как ZeroAccess, Kelihos или ZeuS/Gameover, нелегко: его участники общаются друг с другом, а не с головным сервером. В таких ботнетах нередко используются кастомизированные проколы передачи данных, причем для анализа этого трафика требуется расшифровка. По этой же причине многие попытки определить численность P2P-ботнета терпели неудачу. Пиринговые ботнеты устойчивы к sinkholing (подмене участников), чужеродным инъекциям и другим методам перехвата контроля, применяемым против централизованных ботнетов.

ZeroAccess к тому же почти ежесекундно обновляет списки пиров, сверяет их с прежними и в итоге сохраняет 256 наиболее свежих адресов. По словам Наджи, чтобы подорвать P2P-инфраструктуру этого ботнета, нужно не только изучить его протоколы обмена и взломать шифры, но также заявить свой sinknole как участника сети и активно рассылать ложную информацию ботам, чтобы постепенно их изолировать. «Даже если все удастся, — предупреждает эксперт, — нельзя исключить, что ботоводы сделают ответный ход. Если у них есть возможность отслеживать такие инциденты в сети, они могут принять какие-то контрмеры».

Наджи надеется, что в дальнейшем борцы с P2P-ботнетами будут дружнее работать в одной упряжке, и это касается не только high-tech-компаний, но также блюстителей правопорядка и представителей научных кругов. «Мы были свидетелями нескольких хороших кампаний, например против Conficker, — вспоминает Наджи, — когда академики, технари и правоохрана сплотились в борьбе с серьезной угрозой. Такие акции — верный путь к успеху. Свержение P2P-ботнета требует более тщательной подготовки: важно понять, какие меры будут наиболее эффективными. Если бы [в акции против ZeroAccess] было больше совместных усилий, думаю, мы бы не преминули сказать: «Эй, минуточку, здесь стоит получше все обмозговать, если мы действительно собираемся сокрушить эту бот-сеть».

Категории: Кибероборона