Война ботов, или как зарабатывают киберпреступники?

    image
    Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников. Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя.
    image
    По статистике ZeuS Tracker, на сегодняшний день всего зафиксировано 1296 командных центра данного ботнета, из них активны сейчас только 697.

    Но по нашим измерениям, концентрация этих троянцев в общем потоке вредоносного трафика по-прежнему очень высока.
    Успех Зевса в киберпреступном сообществе в первую очередь связан с продуманной бизнес-моделью. Его создатели распространяют свое преступное детище в составе нескольких компонентов — это генератор ботов/троянцев и полностью готовый к использованию центр управления ботами. Собственно, сам генератор ботов необходим для задания различных параметров работы троянца, например, целевые установки для кражи различного рода персональных данных.

    image

    Второй компонент — это центр управления, который позволяет киберпреступникам отслеживать статистику распространения своих ботов, а также удаленно обновлять конфигурационные параметры ботов.

    image

    Зевс активно распространялся в течение всего 2009 года, хотя были зафиксированы и моменты наиболее повышенной его активности, как, например, середина прошлого лета. Именно в это время всплыла информация о нескольких незакрытых уязвимостях в продуктах компании Adobe, что послужило катализатором для повышенной активности со стороны киберпреступников. Ничто не предвещало проблем для, казалось бы, продуманной стратегии распространения Zeus bot, но в конце 2009 года на киберкриминальной сцене появляется новый «продукт» с аналогичной целевой аудиторией, и имя ему – SpyEye, или, по нашей классификации, троянская программа, которая принадлежит к семейству Win32/Spy.SpyEye. Он так же распространяется с набором компонентов для генерации ботов и командного центра.

    Win32/Spy.SpyEye нацелен на тех же покупателей, что и Зевс, но возникает вопрос, как противоборствующим группировкам поделить этот рынок между собой? И создатели SpyEye выбрали наиболее бесцеремонный способ из всех возможных — просто удалять своего конкурента с компьютеров своих жертв.

    image

    Таким образом, киберпреступники хотят захватить часть рынка, принадлежащего Зевсу, причем, жестко и бесцеремонно. При этом можно выдвинуть несколько версий такой борьбы. Возможно, сами создатели Зевса пытаются распространить новую вредоносную программу и таким брутальным способом заменить свое устаревшее детище, так как SpyEye имеет более совершенный механизм удаленного контроля и управления.

    image

    image

    Кстати, уместно вспомнить события 2004 года, когда велась ожесточенная конкуренция между тремя киберпреступными группировками: Bagle, Mydoom и Netsky. Причем Netsky бесцеремонно удалял своих соперников. Конкуренция в бизнесе есть всегда, а в криминальном бизнесе она обретает особенно жесткие очертания.

    Что касается Win32/Spy.SpyEye, то он тоже нацелен, в первую очередь, на кражу персональных данных. Троянец имеет на своем борту клавиатурного шпиона, функции для кражи FTP-паролей и POP3-паролей, а также функционал по отслеживанию ввода данных в популярных веб-браузерах (IE, FF). В случае, если эти данные представляют коммерческий интерес, вредоносная программа отправляет их злоумышленникам. Как и в случае с Зевсом, боты общаются с командным центром по HTTP-протоколу. Если рассматривать реализацию вредоносного функционала, этот троянец не представляет ничего интересного с аналитической точки зрения, так как использует вполне стандартные методы, которые ранее уже встречались в других злонамеренных программах.

    Сегодня мы наблюдаем эволюцию, так называемых, «наборов» для ведения киберкриминального бизнеса. Очевидно, что создатели этой вредоносной заразы заботятся о своих преступных клиентах, и каждый из них пытается предложить более качественное поделье. Интересно, что же произойдет дальше…
    ESET NOD32
    Компания
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 62

      +2
      А где пиар NOD32? :)
        +4
        Наконец-то они о вирусах стали писать, а не о маркетинге и корпоративной культуре.
        Еще раз привет от Entamoeba histolytica, dohlik ;)
        +10
        Дайте поиграть
          0
          Двумя сразу (Zeus bot и SpyEye)?
            +1
            И сразу устроить войну ботнетов Zeus bot vs SpyEye
          +4
          Битва кибервирусов. Будущее наступило :-)
            0
            Будущее наступит, когда скайботнет придет к выводу, что человечество является угрозой для его существования и примет решение об его уничтожении. :)
              0
              Не… Для нас как раз таки будущее закончится ;(((
                0
                А как он существовать при этом будет? Скорее он выйдет на контакт с microsoft :)
                  0
                  Думаю Microsoft и без ботнетов сама может на твоем компе что угодно накрутить
                    0
                    На моем — вряд ли :)
              +5
              А из управлялки ботнетом можно всем насильно антивирус поставить?
                +3
                На главный вопрос «Можно ли удаленно всем пропатчить мозг» ответ отрицательный. Поэтому ставь, не ставь — для кого-то это все без толку.
                0
                Что самое парадоксальное, создателя (ну или того, кто именует себя создателем) вычислить элементарно. Ибо он сам в открытом доступе например тут:
                  0
                  Редактор глюканул…
                  продолжаем:
                  например тут:
                  forum.xakep.ru/m_1662086/tm.htm, есть icq 457-11-22, не такая большая проблема пробить IP, да и вообще деанонимизировать человека. Только вот это никому не надо, и походу не надо основным борунцам — антивирусным компаниям.
                    +10
                    наивно полагать что этого человека можно так легко спалить по ip
                      +1
                      зачастую, «спалить айпи» совсем не сложно. но в случае с осторожным, скрывающимся человеком с большой вероятностью это будет айпи прокси. :)
                        0
                        С вероятностью почти равной 100% это будет IP-первого прокси из трех в цепочке, доступ к которой осуществляется через TOR, в который выходят через VPN, находящийся на абузоустойчивом хостинге где-нибудь в Малайзии.

                        Вы представляете какое баблище крутится в этом бизнесе и как серьезно люди подходят к безопасности?
                          0
                          вы знаете хоть половину того, что сказали? TOR подходит только, чтобы серфить прон и не более. В реальности достаточно: 1 сокс(если vpn арбзоустойчивый и свой, то и этого не надо) -> vpn -> (vpn, можно и без него) -> socks. вот и все. да и вообще покажите мне настоящего кибер-преступника который для дел использует ICQ и читает xakep?
                            0
                            Вообще-то да, я знаю половину того, что сказал. Даже все знаю. :)

                            TOR подходит для разных вещей, тот факт что Вам он знаком только по представленному Вами применению, не доказывает ничего, кроме возможности и такого использования. Другое дело, что одного TORа не достаточно во-первых, из-за наличия фейковых TOR-серверов, во-вторых из-за недавно опубликованной на Хабре истории о его хаке.

                            Одного прокси не достаточно, поскольку Вы ничего не знаете о его хостере. Всякие там надписи «100% anonymous» и «мы не ведем никаких логов» ничего не доказывают.

                            Абузоустойчивый или свой VPN — это хорошо и практически основная часть гарантий безопасности. Но знаете, если владельцев сервака ОМОН положит мордой в пол под автоматами — Вас сдадут. Хостеру по-любому что-то о Вас известно (Ваше имя или Вашу айпишку или провайдера или канал оплаты хостинга). Это очень хорошо поможет Вас найти.

                            И, честно говоря, не понимаю, почему киберпреступник не может использовать ICQ? Это какое-то табу? Штамп? Пользуешься ICQ — значит ламер?
                              0
                              В TOR полно таких серверов. Для серьезных задач он не подходит.

                              Вы собирались использовать публичный проксик который нашли по запросу «anonymous proxy» в гугле?

                              Поэтому сервак лолжен быть в стране явно не любящей страну где ты работаешь. Можно 2 заюзать. Например, один в китае, второй где-то в тайланде :)

                              Может быть потому, что теперь оснонвая масса пользователей ICQ это 13 летнии девочки? Нет вы серьезно собираетесь вести «деловую» переписку на серверах компании которые находятся в США(напомню, что США и Россия подписали договор о взаимопомощи борьбы с киберпреступниками)? Да и вообще многие даже уже джабером с шифрованием не пользуются, а ушли в сети типа FreeNET.
                            –3
                            Вы серьезно считаете, что этого человека не могут найти потому, что не могут?

                            Если он перейдет дорогу серьезным лицам — его найдут в 24 часа, даже если он спрятался на марсе.

                            И скормят крокодилам.

                            Просто все это _пока что_ — игрушки. Когда пойдут серьезные дела — будет серьезно все.
                        0
                        Не будет вирусов, то антивирусные компании обанкротятся.
                          +1
                          не будет болезней врачи обанкротятся
                            0
                            :)) Это такая вечная борьба, белое и черное, инь и янь
                            Но лучше конечно не болеть и вирусов не подхватывать.
                            Пусть для профилактики только будет.
                          0
                          Ну судя по формуму, человек начинающий в этом деле, жалко же, в тюрьму посадят за такую ерунду.
                        0
                        Хороший обзор «продуктов», годный :)
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Это координата (0, 0).
                            0
                            Вирусы 2.0, однако.
                              +3
                              Ага и SDK и модульность :)
                              –1
                              Да, недавно смотрел обзор этого продукта на тематическом форуме, разработчик вроде как один, из плюсов отметил инновационные функции и умеренную цену (500WMZ за версию от разраба, а за Zeus даже перекупы просят больше частенько).
                                +20
                                Простите, не удержался.

                                  +2
                                  Это еще малое сходство. Есть «ароматические смеси» Spice с этим же логотипом. У нас в городе много где реклама этой байды («смесей»).
                                    +1
                                    Это старая реклама. На самом деле все номера в рекламе уже не действуют а их владельцы легли на дно. После того как 22 января спайс и производные приравняли к героину на федеральном уровне. Наконец-то.
                                      0
                                      Походу их владельцы переехали к нам на Украину, у нас в городе кучу магазинов недавно открылось. Хотя спайс можно было и до этого заказать на различных форумах, но что бы в центре города открыть магазин «Бомбей» с широким ассортиментом бонгов и смесий, это жесть, я даже глазам своим поначалу не поверил, думал что снова попал в Амстердам. А по какому принципу смеси приравняли к героину мне не понятно, основной компонент там, синтетический каннабиноид JWH-018, что по сути является обычной синтетической травкой.
                                        0
                                        У вас тоже до этого дойдут. Синтетика — суровая вещь.
                                        А «приравняли к героину» — я имел в виду юридически. То есть с героином тебя поймают или со спайсом — срок получишь одинаковый.
                                          0
                                          А, ну тогда понятно. Хотя все это временные меры, юридически смеси ни как не запретишь. Ну внесли JWH-018 в список запрещенных к продаже наркотиков, так скоро появятся те же смеси, но на основе JWH-073. Синтетика — зло, но никуда от неё не денешься. Погуглив, оказалось что смеси это не самое плохое, есть легальное экстази, легальный кокаин, который ни на какой экспертизе не определяется, и полностью разрешен к продаже.
                                          https://buythemg.com/
                                  0
                                  Заметьте, скриншот с браузера на немецком языке. И если его снимал автор бота, то скорее всего он из германии. Так же админка, на англиском.
                                    –2
                                    Спасибо, кэп. :)
                                      0
                                      Как я помню, разработчик русский или имеет тесные связи с русскими.
                                        +1
                                        «Как я помню» «Насколько я помню»
                                      +3
                                      Троян -> троянец
                                      Диван -> диванец
                                      Баян -> баянец
                                      Кочан -> кочанец
                                      … and so on
                                        +2
                                        А где про «как зарабатывают киберпреступники»?
                                          –1
                                          Знаете что бесит? Это слова автора:
                                            –2
                                            Сорри Ctrl+Enter нажал… 5 минут чтоб их…

                                            продолжение…

                                            Слова автора этого бота:

                                            «Я — автор. Сейчас имеется команда разработчиков, активно работающих над проектом.»

                                            Они это называют проектом!
                                            Т.е. тупо ободрать кому-то карту — это проект… украсть пароли от мыла — это проект. Если раньше это называли «хакнул», то сейчас «выполнил проект».

                                            Или вот это: «Больше никаких медленных соксов, никакой монотонной работы, никаких косяков неопытных вбивальщиков — просто — указали картон, запустили задание, получили $. =)»… все ж так просто оказывается!
                                              +2
                                              Да ладно вам, человек никакого картона не вбивает, а просто предлагает облегчающую это сделать программу. Несправедливо за такое сажать. Сажать надо вороватых турков, которые у туристов тырят данные с карточки, и Визу с Мастеркардом, которые неспособны были сделать нормальную систему защиты платежей. И топ-менеджеров МТС, поощряющих СМС-лохотроны, и так далее.
                                                0
                                                Т.е. я так понимаю, тот кто написал вирус еще молодец… премию ему дадим, т.к. «просто предлагает облегчающую это сделать программу», что бы каждый школьник сидел и «засирал» свою сеть троянами и тупым трафиком… а потом мы гневно звоним провайдеру и узнаем почему скорость канала ниже обещанной или почему на новый год у нас не было интернета.
                                                Я злюсь из-за того, что эти вещи вылазят, как что-то обыденное, как вкатывание асфальта в снег в Питере.
                                                  0
                                                  Учитесь видеть во всем хорошее: волна троянов и винлокеров вполне могла бы помочь снизить долю Windows на десктопах, если бы у последней был достойный конкурент — разве это не хорошо?

                                                  Волна спама — могла бы заставить всех перейти на нормальный почтовый протокол.

                                                  Зампедление интернета — заставило бы провайдеров бороться с паразитным и ДДОС-трафиком.

                                                  Есть гораздо более вредные люди, например СЕО-шники, использующие SAPE или СМС-лохотронщики, они куда как больше вреда приносят.
                                                    0
                                                    Мне кажется тут не та ситуация что бы вышибать клин клином. Всегда решают проблему в корне или будем только наблюдать вершину айсберга.

                                                    Долю Windows на десктопах уже никогда не снизят пока не научаться остальные писать быстро и качественно драйвера.

                                                    Никакой протокол не спасет от спама, нет даже намеков на такие решения.

                                                    Борьба с ДДОС это отключить клиента, фильтровать все 65 тыс. портов клиента никто не будет.

                                                    Насчет СЕО мало что скажу, но пока мне они не мешали в поиске по гуглу. А СМС с лохотронами это уже на уровне законов надо регулировать, никто не запрещает проявить гражданскую инициативу.
                                            0
                                            Кстати, согласитесь, что сам бот ничего интересного не представляет, все тот же ring3, все тот же перехват (ws2_32.dll:send, wininet.dll:HttpSendRequestA и т.д.) при помощи APICodeHijack.JmpTo.
                                              +2
                                              если бы вы ещё видели исходники панели управления – тихий ужас, на мой взгляд, его нельзя сравнивать с зевсом, проживет максимум пол года, дальше загнется, и первые посылы уже есть – это куча статей о нем
                                              0
                                              поделье %)
                                              классный троян
                                              я вообще был удивлен, увидев с какой легкостью он дописывает хтмл в ИЕ и ФФ
                                              тем не менее в Опере эти трояны не работают, что успокаивает
                                                –1
                                                Если надо — будет работать. В Windows есть открытый механизм подмены указателей на функции библиотек: к любому процессу можно прицепиться и что угодно заменить.
                                                  0
                                                  что значит «если надо»? смысл трояна в том, чтобы работало по максимуму везде — тем не менее не работает.
                                                +1
                                                простите а глаз, ставший хорошо
                                                известным как лейбл наркотических смесей Spice тут с какой целью так часто использован?
                                                  0
                                                  «наиболее бесцеремонный способ из всех возможных — просто удалять своего конкурента с компьютеров своих жертв»

                                                  «жестко и бесцеремонно»
                                                  т.е. рассылать троян — это так, нормальненько
                                                  а при этом удалять
                                                    +1
                                                    черт. запостилось раньше времени.

                                                    продолжаю мысль:

                                                    Умиляют эти фразы из уст антивирусников:

                                                    «наиболее бесцеремонный способ из всех возможных — просто удалять своего конкурента с компьютеров своих жертв»

                                                    «Таким образом, киберпреступники хотят захватить часть рынка, принадлежащего Зевсу, причем, жестко и бесцеремонно»

                                                    Т.е. заражать троянами — это нормально. А вот удалять при этом другой троян — жестко и бесцеремонно!
                                                    Странно читать такое в фиде антивирусной компании.
                                                    Анитивирусы в таком случае — просто за гранью жесткости и бесцеремонности.
                                                    Автору статьи надо определиться с проф. ориентацией, по-моему :-)
                                                      +1
                                                      ну так с точки зрения антивирусной компании, конечно бесцеремонно выполнять их работу, да еще и бесплатно)
                                                      +1
                                                      где вы такое берете?) и конфигуратор и админку?)
                                                        +2
                                                        Методы конкуренции интересные. Так и представляю — установил Visual Studio, а оно vim удалить предлагает.
                                                        • НЛО прилетело и опубликовало эту надпись здесь

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое