Один ботнет чтоб править всеми — Alureon (TDL-4)

    image

    Каждый раз, когда очередной ботнет оказывается побежден совместными силами частных компаний и правительственных организаций — ему на смену приходит следующий, более продвинутый и изощренный. Как и в дикой природе — среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.

    Kaspersky Lab проанализировала деятельность одного из самых интересных ботнетов, активно функционирующих в настоящее время — т.н. Alureon, построенного на базе руткита TDL-4 (о котором на Хабре недавно писала в своем блоге компания Eset). А посмотреть здесь, действительно, есть на что — ведь архитектура ботнета и лежащей в его основе технологии была моментально охарактеризована различными Интернет-изданиями, как «неразрушимая». 4,5 миллиона зараженных машин тоже дают намек на силу используемой архитектуры.

    Собственно, TDL-4 был изначально спроектирован с целью избежать уничтожения или удаления — силами закона, антивирусной программы или конкурирующими ботнетами. При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО, для того чтобы пользователь машины не заметил странного поведения машины и не попытался восстановить ее нормальную работу. Цель ясна как белый день — руткит старается оставаться незаметным, ведь в большинстве ситуаций именно пользователь, а не программа, замечает изменения в работе компьютера (резкие «выбросы» пакетов с данными, снижение производительности и т.д.).

    Для того, чтобы мимикрия была максимально эффективной, руткит (а точнее — буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей. TDL-4 так же шифрует сетевой траффик с помощью SSL для того чтобы избежать обнаружения другими программами, как полезными, так и вредоносными.

    Наиболее примечательной особенностью Alureon'а является использование децентрализованной P2P-сети Kad (используемой, например, eMule) для сообщения между нодами. С ее помощью ботнет создает собственную сеть зараженных машин, позволяя им обмениваться траффиком без задействования центральных серверов, а так же находит новые компьютеры для расширения сети.

    Сделано это как раз в целях повышения устойчивости сети. Ведь все предыдущие атаки на ботнеты были совершены с помощью правительственных организаций, отключающих командно-контрольные центры от работы, найденных, как это произошло в ситуации с Rustock, с помощью Microsoft, определившей местонахождение центральных узлов. Как правило, таких серверов обычно бывает не очень много — несколько десятков, но именно через них осуществляется управление спамом, DDOS-атаками и т.д. и они же представляют собой наибольшую уязвимость любого ботнета.

    Alureon выделяется на фоне конкурентов, во-первых тем, что использует около 60 таких центров, а во-вторых, ему совершенно не обязательно их незыблемое существование — владелец ботнета можешь контролировать всю сеть даже в том случае, если зараженные машины не могут «достучаться» до серверов, так как она построена по принципу peer-to-peer. Шифрование позволяет спрятать их, а использование децентрализованной сети — менять местоположение центральной ноды.
    image
    Конечно, руткиты и раньше использовали для построения ботнетов P2P-сети, но в очень редких и исключительных ситуациях их размер был подобен тому, до какого разросся Alureon. Это дает ему не только гибкость в коммуникации внутри сети, но так же высокую устойчивость к разрушению. Поэтому техники, применяемые против других ботнетов, могут не иметь эффекта против этого индивидуума.

    Вредоносное ПО, само по себе, распространяется в первую очередь через файлообменные и порнографические сайты. Недавно был найден и еще один способ заражения компьютеров с помощью создания DHCP сервера, заставляющего компьютеры использовать вредоносный DNS-сервер, направляющий пользователей сети на страницы, содержащие руткит. Еще одна примечательная особенность кода TDL-4 (известного как TDSS) — это «отравление» результатов выдачи поисковых движков с помощью создания дополнительных proxy-серверов, загружающих программу на компьютер.

    Вдобавок к классическим услугам вроде спама и выполнения DDOS-атак, операторы этого ботнета предлагают эксклюзивную возможность использования любого компьютера в сети в качестве proxy-сервера, анонимизирующего Интернет-траффик. Всего за $100 в месяц вам даже предоставят специальный плагин к Firefox для того чтобы было проще использовать такую систему анонимны-прокси.

    Уничтожение такого ботнета будет непростой задачей — его исследователи уже говорят о специальным образом сконструированных запросах к серверам для получения статистики о числе зараженных компьютеров — специалисты Kaspersky нашли несколько баз данных, расположенных в Молдове, Литве и США, содержащих прокси-сервера на основе которых функционирует ботнет.

    Так же в комментариях к труду говорится о том, что в корпоративной сети (использующей http\https proxy) инфицированные машины могут быть найдены с помощью логов DNS-сервера — сигналом может служить DNS-запрос от машины к прокси-серверу (обычно DNS-запросы приходят от прокси-сервера).

    Kaspersky Lab via RRW via ArsTechnica

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 69

      +69
      Как бы кто не относился к ботнетам и зловредному ПО — но такая система однозначно заслуживает уважения.
      Темная сторона силы во своей всей красоте — даже завораживает.
        –2
        Ага, смотришь как тебя DDOS-ят — и завораживаешься по самое нехочу
          –1
          А вот это уже обозначает, что жажда материальных ценностей пересиливает жажду ценностей духовных. Вот где настоящая темная сторона.
            0
            Почему все думают, что те люди, которые разрабатывают — это те же люди, что используют этот продукт в злых целях? В 99% случаев это абсолютно разные люди. А разработкой занимаются как правило именно те, кому интересно сделать на практике что-то очень новое и крутое, и при этом ещё получить оплату за своё детище. Кто же виноват, что кроме как для корыстных целей больше нигде это так не оценивают и не оплачивают.
            Вот вам пример только когда гугл стал выкупать баги под хром за большую стоимость продажи их в плохие руки, так сразу рынок по направлениям эксплойтов под браузеры хром резко упал, но не исчез и не исчезнет, ведь теперь спроса больше, цены выше и всегда те, кто заплатят больше чем предлагает гугл.

            А по поводу того что часто пишут в блогах АВ уже баяны баянистые. Буткиты, пир ботнеты уже пару лет как есть, если их начинают детектить только сейчас, то это показывает разность бюджетов и заинтересованность, а может местами и квалификации сторон.
            ИМХО. :)
              0
              Я так пологаю, это ответ не к тому коментарию?
        +1
        Хорошая программка. Будет аверам заделье от безделья.
          0
          А зачем системе вообще центральные ноды? Если машины обмениваются сообщениями то достаточно, чтобы любой узел сети распространил команду с цифровой подписью. Одноранговая сеть всяко безопасней для создателей.
            +4
            Через центральные быстрее. Сравните сами скорость начала загрузки через трекер и DHT, например.
              +1
              Возможно, центральные ноды — это постоянные ноды, на которые владелец ботнета может зайти и дать новую команду.
              –1
              Вдобавок к классическим услугам вроде спама и выполнения DDOS-атак, операторы этого ботнета...

              Весьма странно, что прямое общение с владельцами/приближенными к владельцам ботнета воспринимается обыденно. Или спецслужбы не заинтересованы в закрытии ботнета?
                –6
                > Или спецслужбы не заинтересованы в закрытии ботнета?
                Конечно нет! Как же тогда Эстонию ДДоСить?
                  +2
                  Шутки-то шутками, но у нас в Беларуси неугодные сайты ддосят. Вопрос, откуда у отдела К ботнет?
                    +1
                    Эстонию досили не очень сильно. Измалевали пару сайтов премьера, министерств, посмамили и получилась «первая кибервойна». Эстонцы — знамо дело! — в первую очередь обвинили злобную Россию (и ежё понятно, понятно, что это не были армяне). И до сих пор многие пребывают в уверенности, что это было дело рук КГБ, ФСБ, ГРУ и прочих аббривиатур. Лично я уверен, что за атаками было государство, то атаки были бы атаками, а не баловством.

                    Житель Эстонии, я.
                  –15
                  Очередная страшилка. И вот почему.
                  1) Рассказ о том как дезактивировались прочие ботнеты сводиться к тому, что находили корневой управляющий сервер и его блокировали.

                  2) Рассказ о том, почему этот ботнет неубиваем сводиться к тому, что уничтожение корневых серверов не приведет к гибели ботнета, потому что владелец дескать может легко управлять ботнетом и без этих серверов. т.е. подключаться у управлять сетью с любой другой машины.

                  Напрашивается вывод, поскольку система не привязана к конкретному коревому серверу то что может помешать взять контроль над сетью организацией, призванной бороться с самим ботнетом?

                  Ответ ничего.

                    +6
                    Вероятно, использование ЭЦП для подписи управляющих комманд..?
                    • UFO just landed and posted this here
                      +35
                      Этож до чего так дойдет что через несколько лет, глядишь, а у тебя вместо висты стоит ботнет который работает как виста и даже лучше — чтобы проблем пользователь не наблюдал :S
                      • UFO just landed and posted this here
                        +22
                        вот оно ПО, которое реально заинтересовано в удалении зловреда с моего компьютера! срочно нужно поставить!
                          +13
                          И как наудачу, распространение через порносайты позволит совместить полезное с приятным :)
                            +4
                            между прочим, да. матрица 4!
                            0
                            Можно, кстати, деактивировать вредоносные его части ручками.
                            –15
                            А что за DDOS-атака? Distributed DOS (Disk Operating System)? Закидывание серверов командной строкой что ли?

                            DDoS оно называется, DDoS.
                              +8
                              Спасибо за вашу придирчивость.
                                –7
                                Ну, просто, все мы грамотные технические специалисты. И оно всегда DoS называлось. А пишут неправильно через раз. Такое чувство, что пора заводить наравне с tsya.ru еще и ddos.ru :) Правда, он уже занят.
                                –10
                                Мицгол, залогиньтесь.
                                +5
                                интересно, скоро ли появятся зловреды использующие технологии виртуализации современного железа — ведь рабочую ОС пользователя можно виртуализировать — и никакими средствами нельзя будет обнаружить зловреда изнутри системы
                                  +1
                                  Уже есть.
                                  Недавно в IBM рассказывали, что в их исследовательской лаборатории создали вирусный «гипервизор», который позволяет виртуализовать операционную системы, как это делает какой-нибудь Xen или VmWare.

                                  Другой вопрос, что разработка такого ПО очень сложна и тонки и требует больших инвестиций. Если интересно, могу навести справки в IBM.
                                    +1
                                    Вообще то это впервые сделал одна известная девушка =) с харизматичной фамилией =)
                                      0
                                      Простите, не в курсе. Можно узнать фамилию девушки?
                                        +2
                                        Джонна Рутковски. Blue Pill, Red Pill =)
                                          +2
                                          Блин буква А на клавиатуре западает Джоанна Рутковская конечно же =)
                                        +1
                                        Кому интересно: гуглим Blue Pill + Joanna Rutkowska.
                                      0
                                      Найти по сигнатуре на харде?
                                        0
                                        Тогда можно подавать хард виртуальной системе без раздела с вирусом.
                                          0
                                          можно хард просканить на низком уровне. Правда не помню такой функциональности у антивиров
                                      +2
                                      Ежели до запуска ОС загружается, значит ей все равно какую ОС загружать?
                                      Конечно, если заражалка кроссплатформенная.
                                      Linux c MacOSью возмьет? (А то вдруг страшно стало)
                                        +1
                                        Тьфу, не загружать, заражать.
                                          +1
                                          Теоретически. Практически же надо под каждую систему придумать незаметный способ проникновения.
                                            –2
                                            Сомнительно, но было бы интересно услышать мнение грамотного специалиста. В частности, насколько это опасно для дуалбутчиков.
                                            +6
                                            > Kaspersky Lab проанализировала деятельность
                                            > При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО

                                            <ирония>
                                            ну ясно, касперский мочит конкурентов
                                            </ирония>
                                            • UFO just landed and posted this here
                                                +2
                                                В Кровавом Мордоре.
                                                +3
                                                Я восхищён.
                                                Это круто в любом случае, даже несмотря на цели, ради которых оно используется.
                                                  0
                                                  Пост из разряда «на правах рекламы» :)

                                                  Хотя надо автору отдать должное — перелопатил три технические статьи, сделав одну популяристскую.

                                                  Только маленькая подмена понятий: если говорим об Eset и KsperskyLab — то TDL4 или уж TDSS в крайнем случае — но никак не Alureon. По сути это — синонимы, но Alureon — это классификация Microsoft, а о них в статье вообще ни слова. Поэтому фраза
                                                  Alureon, построенного на базе руткита TDL-4
                                                  звучит забавно.

                                                  Немного непонятен референс внизу статьи:
                                                  Kaspersky Lab via RRW via ArsTechnica
                                                  — почему «via», они что — воюют? И первую ссылку я бы заменил на www.securelist.com/ru/analysis/208050704/TDL4_Top_Bot — у нас тут почти все русскоязычные.

                                                  Ну а в остальном — хорошая выдержка. «Я бы купил» :)
                                                    +7
                                                    «via» означает «посредством чего-либо» или «через что-либо»
                                                    «vs» означает «против»
                                                      +3
                                                      Упс, Вы правы, на счёт «via» моя ошибка — простите.
                                                      +1
                                                      via — через, сквозь.
                                                      (с) Лингво
                                                        +1
                                                        "— почему «via», они что — воюют?"
                                                        вы не путайте «via» и «vs.» :)
                                                        0
                                                        >Как и в дикой природе — среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.

                                                        правильнее так: среди компьютерных вирусов, прочего вредоносного ПО И АНТИВИРУСОВ всегда побеждает сильнейший.

                                                        а то у читателя может сложиться неверное впечатление, что антивирусы в этом сражении не участвуют, а потому не могут считаться проигравшими
                                                          +1
                                                          Первая подобная система была раскрыта ещё в 2007 году и называлась Storm Bot.
                                                          Техническое описание можно тут посмотреть
                                                          0
                                                          Ну все же это преувеличение насчет его силы. Ботнет, заражающий MBR, банально лечится либо виндовой консолью и /fixmbr, либо установкой GRUB. Ну и далее либо переустанавливаем систему, либо лечим. Весь этот хваленый вирус можно снести напрочь за 20 минут.

                                                          Реально пациенты ботнетов — неграмотные пользователи, у которых есть устройство с выходом в сеть, установлена ОС Windows XP и нет/жалко денег на обращение к специалисту для лечения, нет навыков пользования устройством. Под эту категорию подпадают скорее всего пользователи стран 3-го мира, которых сотни миллионов и которые в ближайшие годы все подключатся к сети (ибо нетбуки дешевеют). Печальненько.

                                                          Ну а избежать таких проблем довольно легко — верифицируемая загрузка (как во всяких плейстейшенах) + ОС, которая не позволяет модифицировать свои компоненты без цифровой подписи, скрытно устанавливать ПО и скрытно запускать фоновые программы, предотвращать завершение и удаление програмы. На айфонах например нет вирусов.

                                                          Уж сколько лет я об этом говорю, и что? Все равно все пользуются дырявыми, плохо написанными, неграмотно спроектированными, с большим количеством уязвимостей ОС, видимо знак доллара замылил всем глаза. Ну не хотите (уважаемые пользователи и разработчики ПО) слушать мои умные советы — наслаждайтесь ДДОСом, спамом и вирусами, вы вполне этого заслужили.
                                                            +1
                                                            Внимание вопрос как система угадает что она работает в гипервизоре?
                                                              0
                                                              Это сложно, но теоретически возможно. Например, имея внешний источник времени производить замеры и определить влияние накладных расходов гипервизора.
                                                              0
                                                              >Ну все же это преувеличение насчет его силы. Ботнет, заражающий MBR, банально лечится либо виндовой консолью и /fixmbr, либо установкой GRUB. Ну и далее либо переустанавливаем систему, либо лечим. Весь этот хваленый вирус можно снести напрочь за 20 минут.

                                                              Да, уж, очень преувеличена сила ботнета, чтобы его убрать нужно *всего лишь* переустановить систему и может быть отформатировать диск…
                                                                0
                                                                Нужно ещё догадаться, что твоя система заражена, а это непросто.
                                                                –2
                                                                >Уж сколько лет я об этом говорю, и что?

                                                                Только говорить и способен… где ваша реализация наикрутейшей ОС без дырок?
                                                                Троль он и есть троль…
                                                                Не говоря о том, что все написанное бред полный.
                                                                +1
                                                                А вот коллеги из Sophos не считают этот ботнет неуязвимым: nakedsecurity.sophos.com/2011/06/30/indestructible-rootkit-rumours-are-greatly-exaggerated-stand-down-from-high-alert/
                                                                  +2
                                                                  >При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО

                                                                  где можно скачать этот ботнет? )))
                                                                  • UFO just landed and posted this here
                                                                      +1
                                                                      Сервера с базами данных находятся в здании правительства Молдовы, Барак, присылай морских котиков(можно тех что Бин Ладена порешили) и спасай Молдову, может нефть найдете. Либеральное правительство задолбало в корень квадратный.
                                                                        +1
                                                                        Expert botnet pack — мы удалим все вредоносное ПО, слегка займем ваш инет канал*.
                                                                        Первые 15 оптимизаций системы бесплатно.

                                                                        *от 50 до 100 кб/сек, первые пять минут в день цифра утраивается.
                                                                          0
                                                                          Ждем появления второго аналогичного ботнета, Который будет чистить конкурирующего первого. Серьезный же бизнес!
                                                                            0
                                                                            SpyEye же при заражении удалял зевса. Так что и такой вариант вполне вероятен.
                                                                            +1
                                                                            А есть в этом коде ботнета баги или фичи? Удивляюсь как весь этот код написан и протестирован.
                                                                              0
                                                                              УРА!!! Мои стати пользоваться популярностью на Хабре!!!)
                                                                                0
                                                                                чтоб защититься надо всего лишь GRUB поставить?
                                                                                  0
                                                                                  руткит (а точнее — буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей


                                                                                  С каких это пор антивирусы разучились бороться с заражением загрузочного сектора? Еще в 90х такие выри были, старо как мир.

                                                                                  Only users with full accounts can post comments. Log in, please.