Каждый раз, когда очередной ботнет оказывается побежден совместными силами частных компаний и правительственных организаций — ему на смену приходит следующий, более продвинутый и изощренный. Как и в дикой природе — среди компьютерных вирусов и прочего вредоносного ПО, всегда побеждает сильнейший.
Kaspersky Lab проанализировала деятельность одного из самых интересных ботнетов, активно функционирующих в настоящее время — т.н. Alureon, построенного на базе руткита TDL-4 (о котором на Хабре недавно писала в своем блоге компания Eset). А посмотреть здесь, действительно, есть на что — ведь архитектура ботнета и лежащей в его основе технологии была моментально охарактеризована различными Интернет-изданиями, как «неразрушимая». 4,5 миллиона зараженных машин тоже дают намек на силу используемой архитектуры.
Собственно, TDL-4 был изначально спроектирован с целью избежать уничтожения или удаления — силами закона, антивирусной программы или конкурирующими ботнетами. При установке, TDL-4 удалит с компьютера-носителя все остальное зловредное ПО, для того чтобы пользователь машины не заметил странного поведения машины и не попытался восстановить ее нормальную работу. Цель ясна как белый день — руткит старается оставаться незаметным, ведь в большинстве ситуаций именно пользователь, а не программа, замечает изменения в работе компьютера (резкие «выбросы» пакетов с данными, снижение производительности и т.д.).
Для того, чтобы мимикрия была максимально эффективной, руткит (а точнее — буткит) инфицирует раздел главной загрузочной записи жесткого диска (MBR), ответственной за загрузку операционной системы. Это значит, что код руткита загружается еще до ОС, не говоря об анти-вирусе, что делает его нахождение и удаление еще более нетривиальной задачей. TDL-4 так же шифрует сетевой траффик с помощью SSL для того чтобы избежать обнаружения другими программами, как полезными, так и вредоносными.
Наиболее примечательной особенностью Alureon'а является использование децентрализованной P2P-сети Kad (используемой, например, eMule) для сообщения между нодами. С ее помощью ботнет создает собственную сеть зараженных машин, позволяя им обмениваться траффиком без задействования центральных серверов, а так же находит новые компьютеры для расширения сети.
Сделано это как раз в целях повышения устойчивости сети. Ведь все предыдущие атаки на ботнеты были совершены с помощью правительственных организаций, отключающих командно-контрольные центры от работы, найденных, как это произошло в ситуации с Rustock, с помощью Microsoft, определившей местонахождение центральных узлов. Как правило, таких серверов обычно бывает не очень много — несколько десятков, но именно через них осуществляется управление спамом, DDOS-атаками и т.д. и они же представляют собой наибольшую уязвимость любого ботнета.
Alureon выделяется на фоне конкурентов, во-первых тем, что использует около 60 таких центров, а во-вторых, ему совершенно не обязательно их незыблемое существование — владелец ботнета можешь контролировать всю сеть даже в том случае, если зараженные машины не могут «достучаться» до серверов, так как она построена по принципу peer-to-peer. Шифрование позволяет спрятать их, а использование децентрализованной сети — менять местоположение центральной ноды.
Конечно, руткиты и раньше использовали для построения ботнетов P2P-сети, но в очень редких и исключительных ситуациях их размер был подобен тому, до какого разросся Alureon. Это дает ему не только гибкость в коммуникации внутри сети, но так же высокую устойчивость к разрушению. Поэтому техники, применяемые против других ботнетов, могут не иметь эффекта против этого индивидуума.
Вредоносное ПО, само по себе, распространяется в первую очередь через файлообменные и порнографические сайты. Недавно был найден и еще один способ заражения компьютеров с помощью создания DHCP сервера, заставляющего компьютеры использовать вредоносный DNS-сервер, направляющий пользователей сети на страницы, содержащие руткит. Еще одна примечательная особенность кода TDL-4 (известного как TDSS) — это «отравление» результатов выдачи поисковых движков с помощью создания дополнительных proxy-серверов, загружающих программу на компьютер.
Вдобавок к классическим услугам вроде спама и выполнения DDOS-атак, операторы этого ботнета предлагают эксклюзивную возможность использования любого компьютера в сети в качестве proxy-сервера, анонимизирующего Интернет-траффик. Всего за $100 в месяц вам даже предоставят специальный плагин к Firefox для того чтобы было проще использовать такую систему анонимны-прокси.
Уничтожение такого ботнета будет непростой задачей — его исследователи уже говорят о специальным образом сконструированных запросах к серверам для получения статистики о числе зараженных компьютеров — специалисты Kaspersky нашли несколько баз данных, расположенных в Молдове, Литве и США, содержащих прокси-сервера на основе которых функционирует ботнет.
Так же в комментариях к труду говорится о том, что в корпоративной сети (использующей http\https proxy) инфицированные машины могут быть найдены с помощью логов DNS-сервера — сигналом может служить DNS-запрос от машины к прокси-серверу (обычно DNS-запросы приходят от прокси-сервера).
Kaspersky Lab via RRW via ArsTechnica
