С того момента, как несколько лет назад вирус MSBlast!, “окопавшийся” на тысячах подключенных к Интернету ПК по всему миру и в один день начавший атаку на microsoft.com, смог напрочь заблокировать доступ к ресурсу, прошло больше одиннадцати лет. Сегодня компьютерные сети, состоящие из множества хостов с запущенными “ботами” (автономным программным обеспечением, установленным с помощью компьютерных вирусов), являются эффективным оружием для нелегальной деятельности — рассылки спама, перебора паролей на удаленной системе, а также для атак типа DDoS (“отказ в обслуживании”).
Практика заражения
В целом ботнет (бот-сеть) представляет собой сеть компьютеров (в среднем от 10 тыс. до 100 тыс.), зараженных вредоносной программой, с помощью которой киберпреступники могут удаленно управлять зараженными машинами без ведома пользователей. Хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому такие компьютеры называют еще зомби-машинами.
Подобные системы обладают мощными вычислительными ресурсами и являются эффективным кибероружием, а также источником финансовых потоков для злоумышленников. При этом зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны и даже с другого континента, причем полностью анонимно.
Прошлый год стал началом отсчета практически полного перехода векторов заражения в сторону веб-пространства, уверен Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. “За прошедшее время основное количество атак происходило на базе взлома легитимных или создания поддельных сайтов, — поясняет он, — на которых размещалось различное вредоносное ПО или происходило принудительное перенаправление на нелегитимные сайты”.
Как утверждает старший вирусный аналитик “Лаборатории Касперского” Виталий Камлюк: “К эффективным тактическим приемам для включения компьютеров в бот-сети можно отнести использование уязвимостей в браузерах и дополняющих их компонентах, т. е. с применением программ-мини-эксплойтов. Кроме того, вполне эффективным оружием для создания бот-сетей являются компьютерные вирусы”. К примеру, у одной из крупнейших сетей подобного рода из 1,9 млн. компьютеров, которая управляется хакерами с Украины, базовая версия трояна, используемая для вторжения в компьютеры, определяется лишь четырьмя из 39 наиболее популярных в мире антивирусов.
Еще один интересный пример атаки был обнаружен в первом квартале этого года. Причем целью червя psyb0t были не “обычные” компьютеры или серверы, а недорогие модели сетевого оборудования — модемы и маршрутизаторы. Учитывая тот факт, что антивирусное ПО в сетевом оборудовании чаще всего не устанавливается, конечные пользователи попросту не догадываются о том, что их сеть взломали. После того как червь завладевает устройством, он закрывает доступ к нему легальных пользователей, блокируя telnet, sshd и доступ через веб-интерфейс. Вполне возможно, что атака на сетевые устройства, используемые в небольших мобильных офисах или дома, станет одной из тенденций этого года.
А вот о количестве включенных в разнообразные бот-сети компьютеров существует слишком много версий. Но мнение о том, что каждый пятый компьютер, подключенный к интернету, входит в хакерские бот-сети, — это, конечно, преувеличение. По словам Кирилла Керценбаума, в 2008 г. ежедневное количество регистрируемых инфицированных бот-компьютеров по сравнению с 2007-м выросло на 31%. Примерное число таких компьютеров за годовой период составило 9,4 млн., что на 1% выше, чем в предыдущий период. Но это нестабильная цифра, а бот-сети весьма динамичны: так как одни ПК добавляются к ним, а другие исчезают, очень сложно оценить относительный уровень заражения программами-ботами, однако с уверенностью можно говорить, что она составляет чуть выше 10%.
Бизнес на “ботах”
Ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба. “В настоящий момент владельцы ботнетов не склонны специализироваться только на одном виде “услуг”, — они предлагают своим клиентам широкий выбор возможных действий. К примеру, распространяют поддельные антивирусы, которые на самом деле не защищают компьютеры пользователей, а предоставляют злоумышленникам “дырки” для снятия финансовой и личной информации”, — говорит Виталий Камлюк. Подобные действия исполнять спокойнее и гораздо прибыльнее: владельцы подобных программ хорошо заплатят владельцу ботнета, причем его-то не будут разыскивать правоохранительные органы, ведь DDoS-атаки через этот ботнет не проводились.
DDoS — наиболее очевидное и безопасное для злоумышленников применение ботнета, однако наибольшим потенциалом с точки зрения “бизнеса” обладают спам-рассылки: услуга более востребована, а эффект легко просчитать — в настоящее время, по данным “Лаборатории Касперского”, более 80% спамовых писем рассылается именно с зомби-машин.
К слову, меняется и тактика DDoS-атаки (Distributed Denial of Service — распределенная атака типа “отказ в обслуживании”): кибершантаж, в результате которого атакуемый сайт платит выкуп за отказ от подобных атак в будущем, постепенно сходит на нет. Больше денег приносит целенаправленная атака ресурсов по конкретному “виртуальному” заказу.
Специфика атаки
Как отмечают эксперты, в 2008 г. Россия вышла на первое место среди европейских стран по количеству серверов, управляющих бот-сетями. “Также была отмечена тенденция на разукрупнение существующих и создание новых более мелких бот-сетей, — говорит Кирилл Керценбаум, — Это связано с тем, что мелкие бот-сети намного сложнее отследить, а соответственно и заблокировать”. Кроме того, отмечает Виталий Камлюк, такая тактика позволяет атаковать “сайт-цель” в различное время суток из разных географических зон и с помощью различных методов. Сегодня эта тенденция сохранилась, но она не является доминирующей. В настоящий момент можно отметить иную ситуацию: укрупнение ботнетов. За примерами далеко идти не нужно — скажем, ботнет Kido в настоящий момент представляет наиболее серьезную угрозу. Эта вредоносная система впервые была была обнаружена еще в ноябре 2008-го и сейчас насчитывает “в строю” не менее 5 млн. компьютеров. Подобная система, действуя эшелонированными порядками и привлекая необходимые резервы, может быстро и надолго блокировать веб-ресурсы не только служб новостей, но и государственых органов власти, финансово-кредитных учреждений и т. д.
Перспективное направление для ботсетей — постановка под контроль смартфонов и коммуникаторов, имеющих постоянное подключение к Интернету с помощью UMTS-сетей или систем мобильного WiMAX. Потенциально именно такие устройства, распространенные во всех развитых странах мира, будут крайне интересной целью для хакеров в силу слабости их антивирусного обеспечения и большой концентрации личных данных, представленных на подобных терминалах. Кроме того, компьютерная грамотность большинства их владельцев оставляет желать много лучшего и они просто не смогут разобраться в том, загружал ли их коммуникатор данные для виджетов о погоде и курсах валют, или атаковал по приказу центра бот-сети, к примеру, сайт платежной системы.
Но в настоящий момент подобный риск пока маловероятен, уверен Виталий Камлюк, “...во многом в силу того, что лишь относительно небольшое количество разработчиков способно создать необходимый в данном случае софт”.
При этом мобильные устройства как конечная цель заражения вирусными программами, без сомнения, будут подвергаться все более массивным атакам. Особенно по мене развития возможностей широкополосного доступа в Интернет “без проводов”. Однако на данный момент индустрия производства вредоносного ПО, работающая по принципу быстрого возврата инвестиций с высокой рентабельностью, понимает, что данное направление все еще недостаточно развито и подобные атаки, являющиеся не менее затратными, не принесут высокой прибыльности. Таким образом, “спасает” мобильные устройства тот факт, что все еще есть более эффективные направления вредоносной деятельности.
Защита от заразы
Меры безопасности для защиты своих компьютеров от участия в бот-сетях в принципе давно известны. Это обязательное наличие антивируса на серверах, рабочих станциях и мобильных ПК, а также периодический запуск в системе специальных утилит, производящих целенаправленное сканирование для определения наиболее распространенных бот-сетей (обычно бесплатно выпускаются производителями антивирусного ПО). Кроме того, желательно удостовериться, что пароль учетной записи локального администратора устойчив ко взлому (для этого он должен содержать не менее шести символов с использованием разных регистров и цифр), отключить автозапуск исполняемых файлов со съемных носителей и по возможности остановить службу Task Scheduler (планировщик задач) в ОС Windows. Целесообразно также использование персональных межсетевых экранов с контролем приложений.
Кроме того, антивирусные лаборатории сегодня активно налаживают обратную связь с клиентами, создавая так называемые “системы раннего обнаружения угроз”, позволяющие немедленно выпускать обновления для защиты пользователей по всему миру. По мнению ряда экспертов, эта технология рассматривается в качестве наиболее эффективного средства борьбы с бот-сетями.