La campana.

Ci sono quelli che hanno letto questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere la campana
Senza spam.

Virus informatici. Tipi, tipi di percorsi di infezione. Botnet. Come vengono creati botnet. Strumenti di protezione contro Botnet

Condividere.
Condividere.
Tweet.
Piace.
Piace.

Il problema dell'epidemia di worm di rete è rilevante per qualsiasi rete locale. Prima o poi, la situazione può verificarsi quando una rete o un verme postale penetra in LAN, che non viene rilevata da un antivirus usato. Il virus della rete si applica alle LAN attraverso non chiuso al momento dell'infezione della vulnerabilità del sistema operativo o tramite risorse condivise accessibili disponibili. Il virus postale, come segue dal nome, si applica alla e-mail a condizione che non sia bloccata dall'Antivirus client e dall'AntiVirus sul server di posta. Inoltre, l'epidemia nella LAN può essere organizzata dall'interno come risultato di un insider. In questo articolo, considereremo metodi pratici dell'analisi operativa dei computer LAN utilizzando vari fondi, in particolare con l'aiuto dell'utilità dell'autore AVZ.

Formulazione del problema

In caso di rilevamento epidemico o di una determinata attività di inserto nella rete, l'amministratore deve risolvere rapidamente il minimo di tre attività:

  • rilevare PC infetti sulla rete;
  • trova campioni di un programma dannoso da inviare al laboratorio anti-virus e sviluppare una strategia di contromissione;
  • adottare misure per bloccare la diffusione del virus nella LAN e la sua distruzione sui computer infetti.

Nel caso di un'attività privilegiata, i principali passaggi dell'analisi sono identici e più spesso ridotti alla necessità di rilevare un interno stabilito di software straniero sui computer LAN. Ad esempio, questo software può essere chiamato utilità di amministrazione remota, spyware della tastiera e vari segnalibri Trojan.

Considera la soluzione di ciascuna delle attività impostata.

Cerca PC infetti

Per cercare PC infetti nella rete è possibile utilizzare almeno tre tecniche:

  • analisi remota automatica del PC - Ricezione di informazioni sui processi di esecuzione, librerie e driver scaricati, ricerca di caratteristiche - ad esempio processi o file con nomi specificati;
  • esame del traffico PC con l'aiuto di un sniffer - Questo metodo è molto efficace per la raccolta di robot spam, vermi postali e di rete, tuttavia, la principale complessità nell'uso di sniffer è correlata al fatto che la LAN moderna si basa su interruttori e , Di conseguenza, l'amministratore non può monitorare il traffico monitoraggio di tutte le reti. Il problema è risolto in due modi: eseguire un sniffer sul router (che consente di monitorare lo scambio di dati dei dati PC con Internet) e l'uso di funzioni di monitoraggio degli switch (molti interruttori moderni consentono di assegnare una porta di monitoraggio a cui il traffico di una o più porte di switch specificate dai duplicatori dell'amministratore;
  • caricamento sulla rete - In questo caso, è molto comodo utilizzare interruttori intelligenti che consentono di non solo di valutare il carico, ma anche di disabilitare in remoto le porte specificate dall'amministratore. Questa operazione è significativamente semplificata se l'amministratore della scheda di rete ha dati su cui i PC sono collegati alle porte dello switcher corrispondenti e dove si trovano;
  • l'uso di trappole (honeypot) - sulla rete locale si consiglia vivamente di creare diverse trappole che consentiranno all'amministratore di rilevare l'epidemia in modo tempestivo.

Analisi automatica del PC sulla rete

L'analisi automatica del PC può essere ridotta a tre fasi principali:

  • condurre un studio completo di PC - processi in esecuzione, librerie e driver scaricati, autorun;
  • condurre un sondaggio operativo - ad esempio, una ricerca di processi o file caratteristici;
  • oggetti di quarantena secondo determinati criteri.

Tutte le attività elencate possono essere risolte utilizzando l'utilità dell'autore AVZ, progettato per eseguire dalla cartella di rete sul server e supporta il linguaggio di scripting per l'esame automatico del PC. Per avviare AVZ sui computer utente di cui hai bisogno:

  1. Posiziona AVZ in Apri per leggere una cartella di rete sul server.
  2. Creare le sottodirectory di registro e Qurantine in questa cartella e consentire agli utenti di registrare in essi.
  3. Esegui AVZ sui computer LAN utilizzando l'utilità Rexec o lo script di accesso.

Il lancio AVZ nel passaggio 3 dovrebbe essere fatto con tali parametri:

\\\\ my_server \\ avz \\ avz.exe priorità \u003d -1 nw \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt

In questo caso, il parametro Priority \u003d -1 riduce la priorità del processo AVZ, i parametri NW \u003d Y e NQ \u003d Y Scollegare la quarantena nella modalità "Rete Start" (in questo caso, un nome di sottodirectory viene creato in quarantena Cartella per ciascun computer, il nome di cui coincide con il nome della rete PC), HiddenMode \u003d 2 prescrive a vietare l'accesso dell'utente alla GUI e alla gestione della GUI e AVZ, e, infine, il parametro script più importante imposta il nome dello script completo con i comandi che AVZ verrà eseguito sul computer dell'utente. Il linguaggio di scripting AVZ è abbastanza semplice da usare ed è focalizzato esclusivamente sulla risoluzione dei compiti del sondaggio del computer e del suo trattamento. Per semplificare il processo di scrittura script, è possibile utilizzare un editor di script specializzato, che contiene una punta operativa, una procedura guidata di creazione di script tipici e mezzi di verifica dello script scritto scritti senza avviarlo (Fig. 1).

Fico. 1. Editor di script AVZ

Considera tre script tipici che possono essere utili durante la lotta contro l'epidemia. Innanzitutto, avremo bisogno di uno script per lo studio del PC. Il compito dello script è quello di studiare il sistema e creare un protocollo con risultati in una cartella di rete specificata. Lo script ha il seguente modulo:

AttivaWatchDog (60 * 10);

// Avvia scansione e analisi

// studio del sistema

ExecutesSheck (GetavzDirectory +

'\\ Log \\' + getComputerName + '_ log.htm');

// completamento di AVZ

Durante l'esecuzione di questo script nella cartella del registro (si presume che venga creato nella directory AVZ sul server ed è disponibile per gli utenti dell'utente) verrà creato dai file HTML con i risultati della ricerca sui computer di rete e per garantire Unicità Nel nome del protocollo, il nome del computer in studio è attivato. All'inizio dello script, c'è un comando per attivare il timer di guardia, che costringerà il PCCC AVZ in 10 minuti se lo script si verifica durante l'esecuzione dello script.

Il protocollo AVZ è conveniente per lo studio manualmente, tuttavia, è piccolo per l'analisi automatizzata. Inoltre, l'amministratore è spesso noto il nome del file di malware ed è richiesto solo di verificare la presenza o l'assenza di questo file, e se lo si ha - metti in quarantena per l'analisi. In questo caso, è possibile applicare lo script per il tipo seguente:

// Accensione del timer del watchdog per 10 minuti

AttivaWatchDog (60 * 10);

// cerca il programma dannoso denominato

Quarantinafile ('% windir% \\ smss.exe', 'sospetto su ldpinch.gen');

Quarantinafile ('% windir% \\ csssss.exe', 'sospetto di ldpinch.gen');

// completamento di AVZ

Questo script è attivato dalla funzione QuarantinaFile, che fa un tentativo di quarantena di questi file. L'amministratore rimane solo per analizzare il contenuto della quarantena (quarantena \\ network_word folder \\ date_carachina \\) per la presenza di file collocati in quarantena. Va notato che la funzione quarantinaefile blocca automaticamente la stanza nei file di quarantena identificati dal database AVZ sicuro o in base a Microsoft EDS. Per applicazione pratica, questo script può essere migliorato - per organizzare i nomi dei file da un file di testo esterno, controllare i file trovati dalle basi AVZ e formano un protocollo di testo con i risultati del lavoro:

// Ricerca file con nome specificato

funzione CheckbyByName (FNAME: String): Boolean;

Risultato: \u003d fileexists (fname);

se il risultato è quindi inizia

caso checkfile (fname) di

1: S: \u003d ', l'accesso al file è bloccato';

1: S: \u003d ', identificato come malware (' + getlastchecktxt + ')';

2: S: \u003d ', sospettato da uno scanner di file (' + getlastchecktxt + ')';

3: uscita; // file sicuri Ignora

AddTtolog ('File' + NormalFileName (FNAME) + 'ha un nome sospetto' + s);

// Aggiungi un file specificato in quarantena

Quarantinafile (fname, "file sospettoso '+ s);

Sosponi: tstringlist; // Elenco dei nomi dei file sospetti

// Controlla i file nel database aggiornato

se i fileexists (getavzdirectory + 'files.db') quindi inizia

Sospensione: \u003d tstringlist.create;

Sosponi.loadfromfile ('files.db');

AddTTOLG ('Nome Base Downloads - Numero di records \u003d' + INTOSTR (sosnam originale.Count));

// Ciclo di ricerca

per i: \u003d 0 a sosponi.Count - 1 Do

Checkbyname (sosponi [i]);

AddTtolog ('' Errore durante il download Elenco dei nomi file ');

Savelog (getavzdirectory + '\\ log \\' +

GetComputName + '_ Files.txt');

Per lavorare su questo script, è necessario creare nella cartella AVZ disponibile per gli utenti per registrare la quarantena e le directory di registri, nonché il file di testo files.db - ogni riga di questo file conterrà il nome di un file sospetto. I nomi dei file possono includere macro, il più utile dei quali è% windir% (percorso alla cartella di Windows) e% systemroot% (percorso alla cartella System32). Un'altra direzione di analisi può essere uno studio automatico dell'elenco dei processi in esecuzione sui computer degli utenti. Le informazioni sui processi in esecuzione si trovano nel protocollo di ricerca del sistema, ma per l'analisi automatica è più conveniente applicare il seguente frammento di script:

procedura ScanProcess;

S: \u003d ''; S1: \u003d '';

// Aggiorna l'elenco dei processi

Refreshprocesslist;

AddTtolog ('numero di processi \u003d' + inttostr (getprocesscount));

// Ciclo di analisi dell'elenco ricevuto

per i: \u003d 0 a GetProcessCount - 1 Inizia

S1: \u003d S1 + ',' + ExtractName (I);

// Processo Ricerca per nome

se POS ('Trojan.exe', minuscolo (GetProcessName (I)))\u003e 0 allora

S: \u003d s + getprocessname (i) + ',';

se S.<> '' Poi.

Addlinetotxtfile (getavzdirectory + '\\ log _alarm.txt', datetimetostr (ora) + '' + getComputerName + ':' + s);

Addlinetotxtfile (getavzdirectory + '\\ log _all_process.txt', datetimetostr (ora) + '' + getComputerName + ':' + S1);

Lo studio dei processi in questo script è fatto sotto forma di una procedura di scansione separata, quindi è facile da posizionare nel proprio script. La procedura ScanProcess crea due elenchi di processi: un elenco completo dei processi (per analisi successiva) e un elenco di processi che, dal punto di vista dell'amministratore, sono considerati pericolosi. In questo caso, il processo denominato 'Trojan.exe' è considerato per dimostrare come un pericoloso. Le informazioni sui processi pericolosi vengono aggiunti al file di testo _Alarm.txt, i dati su tutti i processi è il file _all_process.txt. È facile notare che è possibile complicare lo script, aggiungendo ad esempio, ad esempio, controllando i processi in base al database di file sicuri o controllare i nomi dei file eseguibili dei processi nella base esterna. Questa procedura viene utilizzata negli script AVZ utilizzati in Smolenskenergo: l'amministratore studia periodicamente le informazioni raccolte e modifica lo script, aggiungendo i processi dei processi proibiti dalle politiche di sicurezza del programma, come ICQ e Mailru.Agent, che consente di controllare rapidamente il Presenza di software proibito sul PC studiato. Un'altra applicazione dell'elenco dei processi è una ricerca PC, che non ha un processo obbligatorio, ad esempio, antivirus.

In conclusione, considera l'ultimo degli script di analisi utili - lo script della quarantena automatica di tutti i file non riconosciuti in base alla base di AVZ sicuri e sulla base di Microsoft's EDS:

// esecuzione di autocarene.

ExeseautoQuarantine;

La quarantena automatica viene esaminata eseguendo processi e librerie, servizi e driver scaricati, circa 45 modi di Autorun, moduli di espansione del browser e conduttori di conduttori, gestori SPI / LSP, attività di pianificazione, gestori di sistema di stampa e simili. Una peculiarità della quarantena è che i file vengono aggiunti al controllo ripetizione, quindi la funzione AutoCartino può essere chiamata ripetutamente.

Il vantaggio della quarantena automatica è che con il suo aiuto, l'amministratore può raccogliere tempestivamente file potenzialmente sospetti da tutti i computer di rete per studiarli. Il più semplice (ma molto efficace nella pratica) la forma di studio dei file potrebbe essere il test della quarantena risultante da diversi antivirus popolari nella modalità Heuristica massima. Va notato che il lancio simultaneo di Autocartine su diverse centinaia di computer può creare un carico elevato sulla rete e sul file server.

Studio del traffico

Lo studio del traffico può essere effettuato in tre modi:

  • manualmente con l'aiuto di annusso;
  • in modalità semi-automatica - in questo caso, Sniffer raccoglie informazioni, quindi i suoi protocolli vengono elaborati manualmente o alcuni software;
  • utilizzando automaticamente i sistemi di rilevamento delle intrusioni (IDS) tipo snort (http://www.snort.org/) o il loro software o analoghi hardware. Nel caso più semplice, gli IDS sono costituiti da un sniffer e al sistema che analizza le informazioni raccolte dal Snuffer.

Il sistema di rilevamento delle intrusioni è il mezzo ottimale, in quanto consente di creare set di regole per rilevare un'anomalia nell'attività di rete. Il secondo vantaggio è il seguente: la maggior parte degli ID moderni consentono di posizionare gli agenti di monitoraggio del traffico su diversi nodi della rete - gli agenti raccolgono informazioni e trasmetterlo. Nel caso dell'uso del Sniffer, è molto conveniente utilizzare la console UNIX-Sniffer TCPDump. Ad esempio, per monitorare l'attività per porta 25 (protocollo SMTP), è sufficiente avviare un sniffer con una riga di comando della specie:

tCPDump -i EM0 -L TCP Port 25\u003e smtp_log.txt

In questo caso, i pacchetti vengono catturati attraverso l'interfaccia EM0; Le informazioni sui pacchetti catturati verranno salvate nel file smtp_log.txt. Il protocollo è relativamente semplicemente analizzato manualmente, in questo esempio, l'analisi dell'attività da parte della porta 25 consente di calcolare un PC con robot spam attivi.

Applicazione honeypot.

Come trap (honeypot), è possibile utilizzare un computer obsoleto, le cui prestazioni non consentono di essere utilizzate per risolvere le attività di produzione. Ad esempio, nella rete dell'autore, Pentium Pro C 64 MB di RAM viene utilizzata con successo come una trappola. A questo PC, è necessario installare il sistema operativo più comune nella LAN e selezionare una delle strategie:

  • Installare il sistema operativo senza pacchetti di aggiornamento - sarà un indicatore dell'aspetto di un worm di rete attivo nella rete che opera una delle vulnerabilità note per questo sistema operativo;
  • installare il sistema operativo con gli aggiornamenti installati su un'altra rete PC - Honeypot sarà analogo a qualsiasi workstation.

Ciascuna delle strategie ha sia i suoi vantaggi che gli svantaggi; L'autore applica fondamentalmente l'opzione senza aggiornamenti. Dopo aver creato un honeypot, è necessario creare un'immagine del disco per ripristinare rapidamente il sistema dopo danni ai programmi dannosi. In alternativa, un'immagine del disco può essere utilizzata per ritornare i cambiamenti dell'ombra e i suoi analoghi. BUEG HONEYPOT, va notato che un numero di vermi di rete cerca computer infetti scannando un intervallo IP, contato dall'indirizzo IP di un PC infetto (strategie tipiche comuni - XXX *, XXX + 1. *, XXX-1 *) - Di conseguenza, idealmente, Honeypot dovrebbe essere in ciascuna delle sottoreti. Come elementi aggiuntivi di preparazione, è necessario aprire l'accesso a più cartelle sul sistema Honeypot e diversi file di esempio di vari formati devono essere inseriti in queste cartelle, il set minimo è EXE, JPG, MP3.

Naturalmente, creando Honeypot, l'amministratore deve rintracciare il suo lavoro e rispondere a qualsiasi anomalie rilevata su questo computer. Come mezzo di registrazione delle modifiche, è possibile applicare i revisori, un sniffer può essere utilizzato per registrare l'attività di rete. Un punto importante è che la maggior parte degli annuidatori ha la possibilità di configurare l'invio dell'avviso dell'amministratore in caso di rilevamento di una determinata attività di rete. Ad esempio, nel Sniffer CommView, la regola implica le istruzioni "Formula", che descrive il pacchetto di rete o il compito dei criteri quantitativi (invio di un numero più specificato di pacchetti o byte al secondo, invio di pacchetti a indirizzi IP o MAC non identificati ) - Fig. 2.

Fico. 2. Creazione e configurazione dell'attività di rete AVVERTENZA

Come avviso, è più conveniente utilizzare i messaggi di posta elettronica inviati alla cassetta postale dell'amministratore - in questo caso, è possibile ottenere avvisi operativi da tutte le trappole sulla rete. Inoltre, se il Sniffer ti consente di creare diversi avvertimenti, ha senso differenziare l'attività di rete, evidenziare il lavoro con e-mail, ftp / http, tftp, telnet, ms netto, aumentato il traffico di oltre 20-30 pacchetti al secondo su qualsiasi Protocollo (Fig. 3).

Fico. 3. Notifica lettera inviata
In caso di rilevamento di pacchetti corrispondenti ai criteri specificati

Quando si organizza una trappola non è male per posizionare diversi servizi di rete vulnerabili sulla rete o stabilire il loro emulatore. Il più semplice (e gratuito) è la paternità dell'utilità APS, che non è installata. Il principio di APS è ridotto all'ascolto del set di porte TCP e UDP descritta nel suo database e emettendo una risposta predeterminata o generata a caso (Fig. 4) al momento della connessione.

Fico. 4. Utilità di finestre principali APS

La figura mostra lo scatto dello screenshot durante la vera risposta dell'APS nella LAN "Smolenskergo". Come si può vedere nella figura, viene registrato un tentativo di collegare uno dei computer client dalla porta 21. Un'analisi dei protocolli ha dimostrato che i tentativi sono periodici, fissati da diverse trappole sulla rete, il che consente di concludere a Scansione di rete per cercare e hackerare i server FTP selezionando le password. APS conduce i protocolli e può inviare amministratori di messaggi con report sui collegamenti registrati a porte controllate, che è conveniente per il rilevamento della scansione della rete operativa.

Durante la creazione di honeypot, è anche utile leggere le risorse online su questo argomento, in particolare con il sito http://www.honeynet.org/. Nella sezione Strumenti di questo sito Web (http://www.honeynet.org/tools/index.html), è possibile trovare una serie di strumenti per la registrazione e l'analisi degli attacchi.

Rimozione remota dei programmi dannosi

Idealmente, dopo aver rilevato campioni di malware, l'amministratore li invia al laboratorio anti-virus, dove sono prontamente studiati dagli analisti e le corrispondenti firme vengono applicate alla base antivirus. Queste firme attraverso gli aggiornamenti automatici rientrano su PC utente e l'antivirus rende la rimozione automatica dei programmi dannosi senza l'intervento dell'amministratore. Tuttavia, questa catena non funziona sempre come dovrebbe essere, in particolare, sono possibili le seguenti cause di fallimento:

  • per un numero di persone indipendenti dall'amministratore, le cause dell'immagine potrebbero non raggiungere il laboratorio anti-virus;
  • efficienza insufficiente del laboratorio anti-virus - idealmente per lo studio dei campioni e la loro introduzione alla base non va più di 1-2 ore, cioè all'interno del giorno lavorativo, è possibile ottenere database di firma aggiornati. Tuttavia, non tutti i laboratori antivirus funzionano così rapidamente, e gli aggiornamenti possono essere attesi per diversi giorni (in rari casi, anche settimane);
  • alte prestazioni dell'Antivirus - un certo numero di programmi dannosi dopo l'attivazione distruggere gli antivirus o violare il loro lavoro in ogni modo possibile. Esempi classici - Immissione di file host Blocco del normale funzionamento del sistema di aggiornamento automatico Anti-Virus, eliminare processi, servizi e driver di antivirus, danni alle loro impostazioni, ecc.

Di conseguenza, nelle situazioni elencate dovranno combattere manualmente per programmi dannosi. Nella maggior parte dei casi, è facile, dal momento che i PC contaminati sono noti dai risultati dello studio dei computer, nonché i nomi completi dei file di malware. Rimane solo per produrre la loro rimozione della distanza. Se un programma dannoso non è protetto dalla rimozione, è possibile distruggerlo con il seguente script AVZ:

// Cancella il file.

DeleteFile ('nome file');

ExeseSessclean;

Questo script rimuove un file specificato (o più file, dal momento che i comandi DELETEFILE nello script potrebbero essere un numero illimitato) e quindi pulire automaticamente il registro. In un caso più sfidato, il programma dannoso può essere protetto dalla cancellazione (ad esempio, re-spalmare i suoi file e le chiavi del registro) o mascherato dalla tecnologia Rootkit. In questo caso, lo script è complicato e avrà il seguente modulo:

// anti-corte

Searchrotkit (vero, vero);

// ufficio avzguard.

Setavzguardstatus (true);

// Cancella il file.

DeleteFile ('nome file');

// abilitando la registrazione del bootcleaner

BC_LOGFILE (GetavzDirectory + 'boot_clr.log');

// Importa al lavoro BootCleaner Elenco di file Script remoto

Bc_importdeletedlist;

// attivazione bootcleaner.

// Sistema di pulizia euristica

ExeseSessclean;

Riavvio (vero);

Questo script include il contrappozione attivamente Robottam, l'uso del sistema AVZGUARD (questo è un blocco di attività del programma dannoso) e il sistema di bootcleaner. BootCleaner è un conducente che rimuove gli oggetti specificati da Kernelmode durante un riavvio, in una fase di caricamento del sistema precoce. La pratica mostra che uno script simile è in grado di distruggere la travolgente maggioranza dei programmi dannosi esistenti. L'eccezione è malware, cambiando i nomi dei loro file eseguibili con ciascun riavvio, - In questo caso, i file rilevati durante lo studio possono essere rinominati. In questo caso, il computer è necessario per manualmente o creare le tue firme di malware (un esempio di uno script di ricerca del segnale esistente è descritto nell'aiuto AVZ).

Conclusione

In questo articolo, abbiamo considerato alcuni metodi pratici di combattere manualmente l'epidemia della LAN, senza utilizzare prodotti antivirus. La maggior parte delle tecniche descritte può essere utilizzata anche per cercare PC stranieri e trojan sui computer degli utenti. Se si dispone di difficoltà a trovare un malware o creare script di trattamento, l'amministratore può utilizzare la sezione "Guida" del forum http://virusinfo.info o la sezione "calore di combattimento" del forum http://forum.kaspersky.com /index.php?showforum\u003d diciotto. Lo studio dei protocolli e dell'assistenza del trattamento viene effettuato in entrambi i forum gratuitamente, l'analisi del PC è condotta secondo i protocolli AVZ, e nella maggior parte dei casi il trattamento è ridotto allo script AVZ infetto PC, compilato da specialisti esperti di dati del forum.

La rete Botnet o Bottle è una rete di computer composta da un numero elevato di computer su cui il software dannoso è segreto, consentendo agli intrusi di eseguire a remoto qualsiasi azione utilizzando risorse computazionali di macchine infette. Centinaia o addirittura migliaia di computer infetti sono solitamente utilizzati per attività illegali e dannose - spam mailing, virus, rapimento o attacchi DDoS. Ad oggi, i botnet sono considerati uno dei cybergroms più gravi.

Come appaiono i botnet?

Per far parte del computer di diventare parte di una botnet, deve essere infettato da malware specializzato, che supporta il contatto con un server remoto o con un dispositivo infetto diverso, ottenendo così le istruzioni per l'azione dagli intrusi che controllano questa botnet. Oltre alla scala impressionante dell'infezione, il malware utilizzato per creare botnet è essenzialmente non molto diverso dal malware tradizionale.

Come riconoscere la botnet?

Trova un tipico malware per il botnet può allo stesso modo nel caso di tutti gli altri programmi dannosi. Le caratteristiche indipendenti possono essere lenti di lavoro, strane azioni, messaggi di errore o un improvviso avvio della ventola di raffreddamento durante il modo in cui il computer è in modalità standby. Questi sono possibili sintomi che qualcuno utilizza remoto il computer, che è diventato parte della botnet ramificata.

Come rimuovere un PC dalla botnet?

A causa di rimuovere il PC dalla botnet, è necessario rimuovere il software dannoso con il quale gli aggressori eseguono il telecomando su di esso. Il modo più efficiente è la scansione anti-virus del sistema del tuo computer, che aiuterà a rilevare un programma dannoso e rimuoverà dal computer.

Come evitare l'infezione da malware, caratteristica di una botnet:
  • Installa la soluzione antivirus di alta qualità sul tuo computer
  • Configurare l'aggiornamento automatico di tutti i programmi di terze parti.
  • Essere estremamente attento quando si viaggia, scaricando programmi e file aperti
Altri modi per proteggere dal rischio di diventare parte della botnet:

Per garantire il tuo computer dal rischio di diventare uno degli "zombi" nell'esercito Baptnet, cerca di evitare download sospetti. Non seguire i collegamenti e non aprire i file dei file dalle lettere, i cui SeitSers sono sconosciuti, ed essere estremamente attento durante l'installazione del software di terze parti sul computer. Supporta il software di terze parti aggiornato e installa gli ultimi aggiornamenti del sistema operativo. Tuttavia, il più importante è l'uso della protezione anti-virus moderna e di alta qualità, come Avast Anti-Virus, che garantirà una protezione affidabile del computer da tutti i tipi di malware e aiuta a evitare l'infezione del computer e accenderlo in Botnet.

Uno dei comandamenti della sicurezza, come abbiamo già detto, è quello di essere sensibile a un possibile tentativo di acquisire il controllo sul computer.

I botnet dicono quando i computer degli utenti ordinari sono soggetti a controllo dei server C & C (comando e controllo), che raccolgono i dati e, come regola, inviare comandi ai computer zombie. Non sempre, tuttavia, tale server è necessario. Nel caso di P2P-Botnet, viene utilizzata una relazione reciproca tra i computer zombie.

I sintomi più frequenti dell'infezione da computer

Il primo passo che dobbiamo fare è assicurarsi che il nostro computer mostri segni caratteristici dei macchinari zombie.

Questi includono:

  • improvviso, un rallentamento inspiegabile nel computer, comportamento ripetuto;
  • attività eccessiva di dischi e connessioni di rete;
  • cambiamento improvviso nel comportamento dei siti famosi;
  • windows pop-up costantemente emergenti, indipendentemente dal sito che vediamo;
  • attività del pacchetto di attività rinforzate - compresi i segnali su strani composti;
  • messaggi sui messaggi di posta elettronica bassi, così come le notifiche da amici che liviamo spam;
  • problemi con il lancio del computer, il frequente computer si blocca, i messaggi di errore;
  • estensioni e file del programma del browser aggiuntivi che appaiono e scompaiono dal disco;
  • programmi sconosciuti che appaiono nel Task Manager, nonché l'espansione del browser che non è stato installato.

I sintomi sopra descritti indicano un rischio aumentato, ma ciò non significa che il nostro computer sia infetto.

La ragione di determinata comportamento può essere scarsa ottimizzazione del sistema. Può anche essere l'effetto delle infezioni dannose, che, tuttavia, non hanno alcun collegamento con la trasformazione del nostro computer nella macchina zombie.

La prima linea di difesa - Antivirus

La trasformazione del computer in zombie è associata all'infezione del programma dannoso. Pertanto, prima scorrere il computer con antivirus. Deve essere aggiornato e la scansione deve coprire l'intero computer e non solo i file di sistema e il profilo utente.

Scansione del computer L'utilizzo del sistema anti-virus è metà del successo. Una parte dei programmi dannosi responsabili della trasformazione del computer in zombie può essere nascosta utilizzando rootkit.

Per identificare la disponibilità di tale software, è necessario controllare il computer utilizzando l'opzione "Rucchite".

Seconda linea di protezione - firewall

Il firewall viene utilizzato non solo per proteggere dall'intrusione. Può essere utilizzato per bloccare il traffico Internet a nostra discrezione.

Prima di tutto, quando pensiamo che il nostro computer sia zombi, ma l'antivirus non ha trovato nulla, vale la pena pagare un po 'di tempo per analizzare il suo comportamento. Il livello di protezione nel firewall deve essere installato al massimo, nonché abilitare Modalità interattivaIn modo che i tentativi composti siano stati identificati.

Quindi stiamo cercando un'attività che non è correlata al funzionamento di qualsiasi applicazione o software di sistema che noi stessi installati. A volte l'infezione può anche essere distribuita ai file di sistema e lo schema di identificazione sarà molto complesso, quindi vale la pena di consultare specialisti in caso di dubbio.

Attività di rete È anche controllato e registrato nei registri che possono quindi essere visti tranquillamente. Poiché escludiamo i processi funzionanti in modo errato, il comfort dell'uso del computer tornerà allo stato iniziale.

Carica sul computer: potresti non notare questo

I moderni computer sono molto efficaci, quindi c'è il rischio che non noteressi nemmeno un carico eccessivo sul computer. Pertanto, è necessario confinare il nostro computer con i seguenti strumenti:

  • Task Manager di sistema. - Nelle versioni più recenti di Windows, consente di monitorare le applicazioni in esecuzione e fornisce anche dati sull'uso delle risorse del computer.

Dopo aver lanciato il dispatcher, possiamo:

  • visualizza tutti i processi attivi e identificare causando il loro software;
  • controlla il carico sull'accesso a Internet attraverso qualsiasi applicazione;
  • visualizza l'elenco dei servizi, particolarmente attivamente lavorando, che non sono correlati al sistema operativo o al software;
  • controlla l'uso delle risorse, in particolare, il processore, la memoria.

Ulteriori informazioni sull'uso delle risorse, inclusa la specifica esatta delle connessioni di rete attive, viene visualizzata in Monitor di risorse di Windows.. Può essere aperto facendo clic su "Apri monitor di risorse" sulla scheda "Velocità" nel Task Manager.

Vale anche la pena di prestare attenzione ai seguenti programmi:

  • Sysinternals Suite. - Questo è un popolare pacchetto applicativo per il monitoraggio del sistema può sostituire le utilità di sistema e grazie a un'interfaccia conveniente e alla decodifica delle informazioni necessarie sarà molto più semplice. In questo pacchetto troverai:
    • TCPView - mostra un elenco di tutte le connessioni attive insieme agli indirizzi dei computer di destinazione, consente di identificare il proprio proprietario (strumento whois);
    • Process Explorer - Versione avanzata dell'elenco dei processi di dispatcher attività, gruppi Attività in base alle applicazioni, il che consente di valutare l'interdipendenza tra software;
    • Procmon: controlla tutta l'attività del disco rigido, del registro e del software, consente di mantenere i registri per l'analisi successiva.

Questo articolo discuterà cosa sia una rete zombie, o una botnet, come forma, chi e come compensare il loro aiuto, così come le tendenze nello sviluppo dei botnet.

I batnet sono già esistiti per circa 10 anni, e circa gli stessi esperti avvertono del pericolo che rappresentano. Tuttavia, il problema dei botnet rimane ancora sottovalutato e molti utenti (fino a quando non si disabilitano Internet finché non trovano la scomparsa del denaro da carte di credito o non rivolgono la cassetta postale o il conto IM) non capiscono cosa consiste in una vera minaccia di zombi.

Cos'è la botnet.

Quindi, prima di tutto, vediamo cosa sia una rete botnet o zombie.

Botnet. - Questa è una rete di computer infetti da un comportamento dannoso di backdoor. Backdoors consentono ai cybercriminali di gestire in remoto le macchine infette (ciascuna separatamente, parte dei computer inclusi nella rete o dell'intera rete intera) senza la conoscenza dell'utente. Tali programmi sono chiamati botami..

I batnet hanno risorse informatiche potenti, sono una formidabile pittura informatica e un buon modo per guadagnare denaro per gli aggressori. Allo stesso tempo macchine infette incluse nella rete, l'host della botnet può gestire da qualsiasi luogo: da un'altra città, un paese o anche da un altro continente, e l'organizzazione Internet consente questo anonimo in modo anonimo.

La gestione del computer, che è infettata da un bot, può essere dritta e mediata. Nel caso del controllo diretto, l'attaccante può stabilire una connessione con un computer infetto e gestirlo utilizzando il programma di riproduzione dei freni integrato nel corpo. In caso di controllo mediato, il bot stesso è collegato al centro di controllo o ad altre macchine sulla rete, invia una richiesta ed esegue il comando ricevuto.

In ogni caso, il proprietario di un'auto infetta, di regola, non sospetta nemmeno che sia usato dagli intrusi. Ecco perché i computer sono stati infettati da un bot malizioso, che sono sotto il controllo segreto dei cybercriminali, chiamano altri computer zombie e la rete in cui entrano sono una rete zombie. Molto spesso, le macchine zombie diventano personal computer di utenti domestici.

Uso di botnet.

I batnet possono essere utilizzati dagli attaccanti per risolvere problemi criminali di diversa scala: dall'invio di spam agli attacchi alle reti governative.

Invio di spam. Questa è la più comune e una delle operazioni più semplici della botnet. Secondo le stime esperte, attualmente oltre l'80% di spam viene inviato da Automobili Zombie. Lo spam con botnet non è necessariamente inviato dai proprietari della rete. Per una tassa specifica, gli spammer possono prendere una botnet in affitto.

Sono stati gli spammer che può apprezzare l'efficacia della Botnet: secondo i nostri dati, lo spammer medio guadagna 50-100 mila dollari all'anno. Botnet multipli consentono agli spammer di milioni di milioni di milioni in poco tempo. Oltre a fornire la velocità e la scala delle spedizioni, i botnet decidono un altro problema degli spammer. Indirizzi da cui spam viene inviato attivamente, spesso rientrano in elenchi di cassette postali neri e le lettere provenienti da loro sono bloccate o contrassegnate automaticamente come spam. Spea mailing da centinaia di migliaia di zombies consente di non utilizzare gli stessi indirizzi da inviare.

Un altro "bonus" di Botnet è la capacità di raccogliere indirizzi e-mail su macchine infette. Gli indirizzi rubati vengono venduti gli spammer o vengono utilizzati nell'invio dello spam dagli sterzi. Allo stesso tempo, la Botnet in crescita consente di ricevere nuovi e nuovi indirizzi.

Per la valutazione dei cyber. I botnet sono ampiamente utilizzati e per gli attacchi DDOS (Denial of Service distribuito - un attacco distribuito del tipo di "fallimento del tipo di manutenzione"). Durante tale attacco con macchine infette, viene creato il flusso di false richieste al server attaccato sulla rete. Di conseguenza, il server dovuto al sovraccarico diventa inaccessibile agli utenti. Per gli attaccanti dell'attacco di attacco, di regola, richiedono la redenzione.

Oggi molte aziende lavorano solo su Internet, e per loro l'indisponibilità dei server significa una fermata dell'autobus completa, che porta naturalmente alle perdite finanziarie. Al fine di restituire rapidamente la stabilità ai suoi server, tali società hanno maggiori probabilità di soddisfare le esigenze del ricatto piuttosto che trasformarsi in una polizia per chiedere aiuto. È per questo che i cybercriminali sono calcolati, quindi gli attacchi DDoS stanno diventando sempre di più.

Gli attacchi DDo possono essere utilizzati come mezzo di esposizione politica. In questi casi, vengono attaccati, di regola, server di agenzie governative o organizzazioni governative. Il pericolo di questo tipo di attacco consiste anche nel fatto che possono indossare una natura provocatoria: le ciberiche dei server di un paese possono essere eseguite dagli altri server ed è controllata dal territorio del terzo stato.

Accesso alla rete anonimo. Gli aggressori possono accedere ai server sulla rete utilizzando le auto zombie, e per conto delle macchine infette per rendere la criminalità informatica, ad esempio, hackerando i siti Web o tradurre denaro rubato.

Vendita e noleggio di botnet. Una delle opzioni per i guadagni illegali utilizzando Botnet è basato sul passaggio della Botnet in affitto o vendere la rete finita. La creazione di botnet in vendita è una direzione separata della criminalità informatica.

Phishing. Gli indirizzi delle pagine di phishing possono entrare rapidamente in elenchi neri. La botnet consente di modificare rapidamente l'indirizzo della pagina di phishing, utilizzando computer infetti come server proxy. Ciò consente di nascondere l'indirizzo reale del server Web Fisher.

Furto dei dati riservati. Questo tipo di attività criminale, forse, non smettere mai di attirare i cybercriminali, e con l'aiuto di un po 'di cattura sotto forma di varie password (per accedere a e-mail, ICQ, risorse FTP, servizi Web) e altri aumenti dei dati dell'utente riservati Migliaia di volte! Il bot, che è infettato da computer nella rete Zombie, può scaricare un altro programma dannoso, ad esempio, un Trojan carving password. In questo caso, il programma Trojan infetto sarà tutti i computer inclusi in questa rete zombie e gli attaccanti saranno in grado di ottenere password da tutte le auto infette. Le password rubate risellino o vengono utilizzate, in particolare, per le pagine Web infettanti in serie (ad esempio, password per tutti i conti FTP trovati) al fine di diffondere ulteriormente il programma BOT del fastidioso ed espandere la rete zombie.

Squadre per Bots.

I comandi che eseguono i bot sono molto diversi, ma, di regola, sono inclusi nella lista qui sotto. I nomi dei comandi possono differire in diverse implementazioni di robot, ma l'essenza rimane la stessa.

Aggiornare: Carica ed esegui il file o il modulo eseguibile specificato dal server specificato. Questa squadra è essenziale, poiché è implementata per primo. Ti consente di aggiornare il file della batteria eseguibile sugli ordini del proprietario della rete Zombie, se il proprietario vuole stabilire una versione modernizzata del bot. Lo stesso comando consente di infettare il computer con altri programmi dannosi (virus, worm), oltre a installare altri robot sul computer. Utilizzando questo comando su tutti i computer, i programmi Trojan possono essere installati contemporaneamente, che vengono cercati per tutte le password, mai inserite su questo computer e salvato nella sua memoria e inviarli al server su Internet.

Alluvione: Avviare il processo di creazione di un flusso di false richieste al server specificato sulla rete per ottenere il server o sovraccaricare un canale Internet del segmento di rete globale specificato. La creazione di un flusso simile può causare gravi malfunzionamenti del server che portano alla sua inaccessibilità per gli utenti ordinari. Questo tipo di attacco che utilizza Botnet è chiamato Attacco DDoS. Tipi di varie opzioni per la creazione di query di rete false ci sono molte, quindi non li descriveremo tutti e limitarci a un concetto generale.

Spam: Scarica il modello di messaggistica spam e avviare l'invio di spam agli indirizzi specificati (per ogni BOT assegnata la porzione di indirizzo).

Proxy: Utilizzare questo computer come server proxy. Spesso, questa funzione non è evidenziata in un comando separato e si accende immediatamente sul bot funzionante generale. Questa è una delle funzioni dell'applicazione che consente di utilizzare qualsiasi computer dalla botnet come server proxy per nascondere l'indirizzo reale dell'attaccante che controlla la botnet.

Ci sono altre squadre, ma non sono tra le più popolari e quindi sono implementate solo in bot separati. Questi comandi aggiuntivi consentono di ricevere copie dell'immagine dalla schermata dell'utente, monitorare l'ingresso di password dalla tastiera, richiedere un file con un protocollo di comunicazione di rete (utilizzato per rubare account e dati riservati), inviare il file specificato dall'utente Computer, richiedere numeri di software seriale, ottenere informazioni dettagliate sul sistema utente e sui suoi dintorni, richiedere un elenco di computer inclusi in Botnet, ecc.

Tipi di botnet.

La classificazione dei botnet oggi è sufficiente. Si basa sull'architettura di botnet e protocolli utilizzati per controllare i robot.

Classificazione dei botnet. Architettura

Fino ad ora, sono conosciuti solo due tipi di architettura Botnet.

  1. Batnet con un singolo centro. In Botnet con tale architettura, tutti i computer di zombie sono collegati a un centro di controllo o da C & C (Command & Control Center). C & C si aspetta che connetti nuovi robot, li registra nel suo database, monitora le loro condizioni e fornisce loro comandi selezionati dal proprietario del Batnet dall'elenco di tutte le squadre possibili per il bot. Di conseguenza, tutti i computer zombie collegati sono visibili in C & C e per controllare la rete Zombie centralizzata, il proprietario della rete ha bisogno di accedere al centro di comando.
  1. Batnet con controllo centralizzato sono il tipo più comune di reti zombie. Tale botnet è più facile da creare, sono più facili da gestire e reagiscono più velocemente alle squadre. Tuttavia, anche il combattimento con i controlli centralizzati è più semplice: neutralizzare tutta la botnet, è sufficiente per chiudere C & C.
  2. Batnets decentralizzati o battisti P2P (dall'inglese "peer-to-peer", che significa "connessione point-to-point"). Nel caso della botnet decentralizzata, i robot sono collegati non al centro di controllo, ma con diverse macchine contaminate dalla rete Zombie. I comandi vengono trasmessi dal bot al bot: ogni bot ha un elenco di indirizzi di diversi "vicini", e quando si riceve una squadra da nessuno di essi, lo trasmette al resto, diffondendo così ulteriormente il comando. In questo caso, l'attaccante per gestire tutta la Botnet, è sufficiente avere accesso ad almeno un computer incluso nella rete Zombie.
    3.

Fico. 2 Topologia decentrata (P2P)

In pratica, la costruzione di una botnet decentrata non è molto comoda, poiché ogni nuovo computer infetto ha bisogno di fornire un elenco di quei robot con cui contatterà la rete zombi. È molto più semplice inviare prima il bot al server centralizzato, dove riceverà un elenco di bottiglia dei "vicini", quindi spegnere il bot sull'interazione tramite connessioni P2P. Tale topologia mista si riferisce anche al tipo P2P, anche se in una fase separata, i robot sono utilizzati da C & C. È molto più complicato combattere i botnet decentralizzati, perché nella botnet corrente non c'è un centro di controllo.

Classificazione dei botnet. Protocolli di rete usati.

Per trasferire i comandi host Botnet, è necessario installare una connessione di rete tra il computer zombie e il computer che trasmette il comando. Tutte le interazioni di rete si basano sui protocolli di rete che determinano le regole per la comunicazione dei computer sulla rete. Pertanto, vi è una classificazione Botnet in base al protocollo di comunicazione utilizzato.

Per tipo di protocolli di rete utilizzati, i botnet sono divisi nei seguenti gruppi.

  1. Oriented IRC. Questo è uno dei primi tipi di botnet, dove i robot sono controllati da IRC (Internet Relay Chat). Ogni computer infetto collegato con il programma IRC-Server specificato nel corpo del corpo, è andato avanti un certo canale e ha aspettato la squadra dal suo Maestro.
  2. Im-orientatoIm-orientato. Non un tipo di botnet molto popolare. Differisce dai suoi compagni orientati all'IRC solo al fatto che i canali IM-Services (messaggistica istantanea) vengono utilizzati per trasferire dati, come AOL, MSN, ICQ, ecc. La bassa popolarità di tali botnet è dovuta alle difficoltà derivanti quando Creazione di un account di servizio IM separato per ogni bot. Il fatto è che i robot dovrebbero andare in rete e partecipare costantemente online. Poiché la maggior parte dei servizi IM non consente la registrazione da computer diversi utilizzando lo stesso account, ogni bot deve avere il suo numero di servizio IM. Allo stesso tempo, i proprietari dei servizi IM ovunque ostacolano qualsiasi registrazione automatica dell'account. Di conseguenza, i padroni di ricerca dei botnet orientati all'immentata sono fortemente limitati tra i conti registrati disponibili, il che significa tra i bot che sono contemporaneamente presenti sulla rete. Naturalmente, i robot possono utilizzare lo stesso account, andare online una volta in un certo periodo di tempo, inviare dati al numero dell'host e attendere una risposta per un breve periodo di tempo, ma questo è tutto molto problematico: tale reagita di rete reagisce alle squadre molto lentamente.
  3. Orientato al web. Ramo di botnet relativamente nuovo e in rapida crescita, orientato al controllo tramite www. Il bot è collegato a uno specifico server Web, riceve comandi da esso e trasmette i dati in risposta. Tale botnet è popolare a causa della relativa facilità del loro sviluppo, un gran numero di server Web su Internet e la facilità di gestione attraverso l'interfaccia web.
  4. Altri. Oltre a quelli sopra elencati, ci sono altri tipi di botnet collegati sulla base del proprio protocollo, basato solo sullo stack del protocollo TCP / IP: vengono utilizzati solo i protocolli Generali TCP, ICMP, i protocolli UDP.

Botnet Evolution.

La storia dei botnets è iniziata nel 1998-1999, quando sono appassionati i primi programmi di comportamento backdoor e dolorbus non richiesti. Questi erano concetti, cioè. I programmi in cui sono implementate fondamentalmente nuove soluzioni tecnologiche. NetBus e Backorifice2000 per la prima volta trasportano un set completo di funzioni di controllo remoto di un computer infetto, che ha permesso agli intrusi di lavorare con file su un computer remoto, eseguire nuovi programmi, ottenere gli scatti dello schermo, aprire / chiudere l'unità CD, ecc.

Originariamente creati come programmi Trojan, Backdors ha lavorato senza autorizzazione o notifica dell'utente. Per gestire un computer infetto, un utente malintenzionato doveva stabilire una connessione con ogni macchina infetta. I primi backdors hanno lavorato nelle reti locali in base alla pila dei protocolli TCP / IP e, infatti, sono state una dimostrazione dell'utilizzo di API di Windows per il controllo del computer remoto.

I programmi client per la gestione remota dei computer hanno già all'inizio degli anni 2000 potrebbero gestire simultaneamente diverse macchine contemporaneamente. Tuttavia, a differenza dei moderni backdoors, i programmi Netbus e Backorifice2000 eseguiti come server di rete: hanno aperto una porta specifica e attese passivamente i collegamenti host (backdoors utilizzati per costruire botnet oggi, stabilire connessioni stesse).

Poi qualcuno dagli attaccanti si avvicinò per fare in modo che i computer infetti con i backdor stessi sono andati in contatto e potrebbero sempre essere visti online (a condizione che siano inclusi e funzionanti). Molto probabilmente, questo "qualcuno" era un hacker, perché i bot di nuova generazione hanno utilizzato il tradizionale canale di comunicazione per gli hacker - IRC (Internet Relay Chat). Probabilmente, lo sviluppo di nuovi robot ha fortemente semplificato il fatto che nel sistema IRC stesso inizialmente ha funzionato i bat con open source, ma non finalizzato al telecomando del sistema, e con un'altra funzionalità (questi programmi hanno ricevuto risposta alle richieste degli utenti, ad esempio, ad esempio, informazioni meteorologiche emesse o circa l'ora dell'ultima comparsa di un utente specifico in chat).

I computer infetti da nuovi bot sono iniziati a connettersi con i server IRC, come i visitatori per entrare in contatto con un determinato canale IRC e attendere istruzioni dall'host della Botnet. L'host potrebbe apparire online in qualsiasi momento, consultare l'elenco dei robot, inviare comandi a tutti i computer infetti o inviare un messaggio separato a una macchina. È stato il primo meccanismo di botnet con il controllo centralizzato, in seguito chiamato C & C (Command & Control Center).

Lo sviluppo di tali bot è stato semplice a causa della semplicità della sintassi del protocollo IRC. Per utilizzare il server IRC, non è necessario un programma client specializzato. È sufficiente avere un client di rete universale, come un'applicazione netcat o telnet.

L'aspetto dei botnet IRC è diventato noto abbastanza rapidamente. Non appena le pubblicazioni sono apparse nelle riviste di hacker, "Hijackers" di Botnet è apparso, persone che possedevano, forse la stessa conoscenza dei proprietari dei botnet, ma cacciavano i progressi più facili. Stavano cercando tali canali IRC, dove c'erano sospettosi molti visitatori, sono andati su di loro, studiati e "dirottati" botnet: intercettati la gestione della rete, i bot reindirizzati ad altre password protette da password, i canali IRC e di conseguenza, hanno ricevuto un controllo unico esclusivo sopra le macchine infette da rete "di qualcun altro".

La prossima fase dello sviluppo dei botnet era il movimento dei centri di controllo al World Wide Web. All'inizio, gli hacker hanno sviluppato uno strumento di gestione degli strumenti di controllo remoto basato su motori di script popolari come Perl e PHP, in rari casi - ASP, JSP e molti altri. Quindi qualcuno ha creato tale connessione del computer sulla rete locale con un server su Internet, che ha permesso di gestire il computer. Il diagramma del telecomando del computer sulla rete locale per bypassare tali apparecchiature di protezione come proxy e nat, è stato pubblicato su Internet e divenne rapidamente popolare in alcuni cerchi. Il telecomando era basato sull'istituzione di una connessione HTTP con il server di controllo utilizzando le impostazioni del computer locale. Se l'utente ha installato l'indirizzo, la porta, il login e la password per il server proxy nelle impostazioni di sistema, il meccanismo di autorizzazione della libreria funzioni attivato automaticamente per supportare HTTP (Wininet.dll). Dal punto di vista del programmatore, è stata una soluzione semplice ed economica.

Sviluppo semi-facile dei telecomandi, finalizzato a aggirare l'accesso remoto alle macchine nelle reti locali, ha fornito impeto a creare botnet orientati al web. Un po 'più tardi è stato sviluppato una semplice sceneggiatura per la gestione di una piccola rete di computer, e gli aggressori hanno trovato un modo per utilizzare tali reti gestite per scopi mercenari.

Botnets orientati al web si sono rivelati una soluzione estremamente comoda che è popolare oggi. Una varietà di computer può essere controllata da qualsiasi dispositivo che ha accesso a Internet, anche da un telefono cellulare che supporta WAP / GPRS, anche uno scolaro può far fronte all'interfaccia Web. Ulteriore sviluppo di Internet e migliorare le tecnologie di sviluppo Web ha anche stimolato l'uso di botnet web.

Ci sono stati tentativi di creare botnet gestiti tramite i canali IM-Services. Ma IM-Botnet non erano diffusi, in particolare, in particolare, perché richiedono la registrazione dei numeri IM e in condizioni in cui i sistemi di protezione dalla registrazione automatica dell'account sono in costante cambiamento, registrare automaticamente i conti multipli sono automaticamente difficili.

A questo punto, l'evoluzione dei botnet non era finita: in ritardo dell'uso dei protocolli, gli sviluppatori di botnet sono passati all'architettura di rete. Si è scoperto che la botnet dell'architettura classica (molti bot e un centro di controllo) è estremamente vulnerabile, poiché dipende dal gruppo critico del Centro di controllo, quando la rete è scollegata, la rete può essere considerata perduta. Soluzioni sotto forma di infezione simultanea dei computer con diversi robot focalizzati su diversi centri di controllo, a volte funzionano, ma tale botnet è molto più difficile da mantenere, dal momento che è necessario seguire i due-tre centri di controllo.

Un botnet con l'architettura P2P può essere molto efficace e pericoloso dal punto di vista degli esperti, in cui non esiste un centro di controllo. Il proprietario della rete è sufficiente per dare alla squadra di una delle auto, allora i robot passano la squadra per se stessi. In linea di principio, ogni computer in una botnet può connettersi con qualsiasi altro computer incluso nella stessa rete. Esperimenti sulla creazione di tali botnet sono stati effettuati per un lungo periodo, ma la prima botnet su larga scala basata sull'architettura P2P è apparsa solo nel 2007. Ed è P2P-Botnet che ora sono impegnati nell'attenzione dei ricercatori di sicurezza delle informazioni.

P2P-Botnet.

Botnet "Storm"

Nel 2007, l'attenzione dei ricercatori di sicurezza delle informazioni attirava P2P-Botnet creata sulla base di un programma dannoso noto come worm della tempesta. Gli autori del worm "Storm" distribuivano il loro cervello molto attivamente: Apparentemente, hanno creato un'intera fabbrica per creare nuove versioni di un programma dannoso. Dal gennaio 2007, riceviamo 3-5 diverse varianti di tempesta worm quotidiano (dalla classificazione del Kaspersky Lab - Email-worm.win32.zhelatin).

Alcuni esperti ritengono che Storm Worm sia un programma dannoso per costruire una nuova generazione di reti zombie. Il fatto che il BOT è stato sviluppato ed è distribuito da professionisti nel suo campo, e l'architettura e la protezione della rete Zombie sono ben pensati, le seguenti caratteristiche della botnet "Storm" sono testimonianze:

  • Il codice BOT muta che assomiglia ai virus polimorfi. La differenza tra il verme della tempesta è che il codice che svolge mutazioni non funziona all'interno del programma stesso (come polimorfico), ma su un computer speciale sulla rete. Questo meccanismo ha ricevuto il nome "polimorfismo del server" (polimorfismo lato server).
  • Le mutazioni si verificano abbastanza spesso (i casi di mutazioni sono stati registrati una volta all'ora) e - la cosa principale - sul lato del server, in modo che gli aggiornamenti del database antivirus per molti utenti siano inefficaci.
  • Storm Botnet protegge le sue risorse da ricercatori troppo curiosi. Molte società anti-virus scaricano periodicamente nuove copie di un worm dai server, da dove proviene un programma dannoso. Quando vengono trovati maniglie frequenti dallo stesso indirizzo, i bots vengono assegnati un comando per avviare l'attacco DDOS di questo indirizzo.
  • Il bot dannoso sta cercando di funzionare il più vicino possibile nel sistema. È ovvio che un programma che attacca costantemente il computer o esibisce un'attività di rete, un'attività di rete, l'attenzione e gli amministratori e gli utenti sono più veloci. Pertanto, l'attività di dosaggio che non richiede l'uso di un numero significativo di risorse informatiche, dal punto di vista di un programma dannoso è più sicuro.
  • Invece di comunicazione con il server centrale, il worm Storm è associato solo a numerosi computer "adiacenti" in una rete infetta, che rende il compito di identificare tutte le macchine zombie nella rete P2P praticamente impossibile. Questo è il principio dell'organizzazione dei gruppi di intelligence: tutti coloro che entrano in un gruppo conosce solo molti altri membri del Gruppo e il fallimento di un Agente di intelligence non significa che l'intero gruppo sia divulgato.
  • Gli autori del worm stanno cambiando costantemente modi per diffonderlo. Inizialmente, il programma dannoso è stato distribuito come investimento nelle lettere di spam (in particolare, in particolare, sotto i file PDF); Quindi i collegamenti sono stati inviati ai file contaminati; Ci sono stati anche tentativi di ospitare automaticamente i blog, che contenevano collegamenti a pagine Web infette. E con qualsiasi modo per distribuire questo malware, sono stati utilizzati sofisticati metodi di ingegneria sociale.

Storm-Botnet ha portato molti problemi. Oltre alla distribuzione di massa dello spam, è sospettato di partecipare a vari attacchi DDOS su larga scala in tutto il mondo, e, secondo alcuni ricercatori, anche durante gli attacchi informatici dei siti delle agenzie governative estoni nel 2007, senza la partecipazione della botnet "tempestosa". Ciò che è potenzialmente in grado di una rete causa sgradevoli sensazioni da parte di fornitori e hoster di Internet. La tensione aggiunge il fatto che le dimensioni vere della botnet "tempestosa" rimase un mistero. Se altre reti zombie, completamente o parzialmente basate su C & C, possono essere viste interamente (ogni computer zombie collegato è visibile in C & C), l'elenco delle auto infette incluse nella botnet "Storm" non ha visto nessuno dei esperti. Secondo stime diverse, la dimensione del verme della tempesta Baptnet potrebbe essere da 50 mila a 10 milioni di zombi.

Alla fine del 2007, Storm-Botnet sembrava fuso, sebbene riceviamo ancora alcune nuove versioni del bot ogni giorno. Alcuni esperti ritengono che la rete zombie vendata in parti, altre ritengono che la botnet si è rivelata non redditizia: il suo sviluppo e il suo sostegno non hanno pagato il profitto ricevuto.

Primo Maggio.

Un altro interessante, a nostro avviso, Botnet, che è tecnologicamente in qualche modo diverso dai suoi predecessori, è mayday. Tale bot (secondo la classificazione del laboratorio Kaspersky - Backdoor.Win32.Mayday) e la rete creata sulla sua base ricevuta per il fatto che il nome del dominio a cui il programma dannoso è stato trattato in una delle sue modifiche incluse la parola "mayday".

Mayday è un'altra botnet costruita sull'architettura P2P. Dopo aver iniziato il bot è collegato al server Web specificato nel corpo, è registrato nel suo database e riceve un elenco di tutti i robot nella rete infetta (nel caso di tempesta worm è stato solo parte della lista). Successivamente, il bot imposta i composti del tipo di computer-computer con altri robot inclusi nella rete Zombie.

Abbiamo registrato 6 server diversi in tutto il mondo (nel Regno Unito, negli Stati Uniti, nei Paesi Bassi, Germania), con i quali i robot erano associati alla fase di costruzione BotNet. All'inizio di marzo, solo uno dei server è rimasto a condizione praticabile, su cui sono stati registrati circa 3 mila bot (ricordiamo che, secondo le stime più modeste, decine di migliaia di auto infette sono state incluse nella botnet "Storm" ). Oltre alle dimensioni della rete, il Mayday è chiaramente inferiore al suo "fratello maggiore" in diverse posizioni importanti: in Mayday-Botnet, viene utilizzato un protocollo di comunicazione primitivo non controllato, il codice del programma dannoso non è stato sottoposto a speciale Elaborazione per la complicazione del suo software anti-virus, e, cosa più importante, le nuove opzioni di bot sono prodotte in tutta la frequenza, che vediamo nel caso del verme della tempesta. Il programma Backdoor.Win32.Mayday è stato raggiunto per la prima volta dal Lab Kaspersky alla fine di novembre 2007, e nei quattro mesi passati, la nostra collezione è diminuita di più di 20 diverse varianti del programma.

Per quanto riguarda le innovazioni tecnologiche, si devono notare due approcci non standard implementati in BotNet.

Innanzitutto, nella rete di Mayday, la comunicazione del tipo di computer-computer (P2P) è inizialmente basata sulla trasmissione dei messaggi ICMP con un carico utile a 32 byte.

La maggior parte degli utenti del protocollo ICMP (protocollo del messaggio di controllo Internet - Protocollo di controllo dei messaggi di controllo) è familiare all'utilità di applicazione PING utilizzando ICMP per verificare la disponibilità dell'host di rete. Tuttavia, le funzioni di base del protocollo sono molto più ampie. Questo è ciò che ICMP è detto in Wikipedia: "ICMP è un protocollo di rete incluso nella pila di protocollo TCP / IP. Fondamentalmente, ICMP viene utilizzato per trasmettere messaggi di errore in altre situazioni eccezionali che si sono verificate durante la trasmissione dei dati. Anche su ICMP ha assegnato alcune funzioni di servizio. "

La figura 10 mostra l'interfaccia del programma sniffer di comunicazione dei pacchetti di rete che ha registrato la trasmissione dei pacchetti ICMP dalla Bota Mayday. No dei robot noto a noi in precedenza non ha utilizzato ICMP per trasferire i dati.

Fico. 3. Pacchetti ICMP inviati da Bot Mayday

Con ICMP, viene eseguita la disponibilità dei robot nella rete infetta e la loro identificazione. Dal momento che il BOT di MayDay è focalizzato su Windows XP SP2, dopo aver iniziato la modifica delle regole della schermata di rete di Windows, in modo che sia consentita la ricezione dei pacchetti ICMP.

Il secondo e, forse, la caratteristica principale di MayDay-Botnet è il suo centro di controllo.

Per il funzionamento dei centri di gestione della botnet orientati al web, viene utilizzato un meccanismo noto come CGI (Interfaccia Gateway Common Gateway). Inizialmente, la tecnologia dei server Web ha fornito la possibilità di utilizzare file eseguibili come implementazione CGI, è apparsa una varietà di script in seguito. L'applicazione CGI genera in tempo reale il contenuto richiesto dalla pagina Web dell'utente, fornendo l'esecuzione del programma e inuscitate i risultati del suo funzionamento invece dei dati statici dal server. Lo script CGI funziona su uno schema simile, ma per visualizzare i risultati del suo lavoro, richiede un interprete: il motore di script. Di norma, i centri di comando Botnet orientati al Web sono sviluppati da intrusi utilizzando i motori di script.

In collaborazione con le agenzie di forze dell'ordine, siamo riusciti a ottenere una copia del programma che funziona al Centro di comando di MayDay Bottnet. Il server tramite MayDay è un file one-pezzo (senza moduli) 1,2-megabyte eseguibile file ELF (Linux analogico di file EXE eseguibili Microsoft Windows), che non richiede la presenza di un motore di script nel sistema. A prima vista, nulla di sorprendente nello sviluppo delle applicazioni CGI di MayDay invece dello script CGI sembra essere no. Tuttavia, tale decisione causa una serie di domande.

Lo sviluppo di un'applicazione CGI per un paio di ordini è più difficile sviluppare uno script CGI, poiché richiede sforzi speciali per attuare un codice stabile e affidabile. Attualmente, il 99% degli sviluppi Web è condotto sulla base dei motori di script e i programmi IGC eseguibili monolitici sono creati solo in caso di necessità difficili per ottimizzare tutto il dettaglio più piccolo. Di norma, questo approccio è utilizzato da grandi società nello sviluppo di progetti che dovrebbero funzionare in condizioni di enormi carichi. I programmi IGI eseguibili monolitici sono utilizzati, ad esempio, in sistemi web come E-Bay, Paypal, Yahoo, ecc.

Perché è stato creato un file eseguibile affondante nel caso di una Botnet Mayday? Una delle possibili ragioni potrebbe essere il desiderio degli sviluppatori di complicare "estranei" il compito di modificare, riconfigurazione e rivendita del Centro di controllo. In ogni caso, l'analisi della struttura del server tramite MayDay dà motivo di presumere che un tale sviluppo serio (codice sia accurato, creato dal sistema di classe universale) richiede un team di sviluppatori ben organizzato. Inoltre, per creare il Mayday-Botnet, gli attaccanti, molto probabilmente, hanno dovuto lavorare su due progetti diversi: lo sviluppo di programmi per Windows e per Linux.

Nella primavera del 2008, "Laboratorio di Kaspersky" non c'era un nuovo esempio di Mayday Bota. Forse gli autori del programma dannoso hanno preso Taimaut, e il Mayday-Botnet si mostrerà ancora nel prossimo futuro.

BOTNET BUSINESS.

La risposta alla domanda Perché i botnet continuano a svilupparsi e stanno diventando un problema sempre più pertinente, è possibile ottenere, valutare lo stato attuale del mercato botnet. Oggi, i cybercriminali che vogliono costruire una botnet non hanno bisogno di conoscenze speciali, né grandi somme. L'industria della botnet sotterranea ad un prezzo simile fornisce a coloro che desiderano ottenere una botnet di tutto il necessario: software, reti e servizi pronti per un hosting anonimo.

Guarderemo i forum di Internet specializzati nella vendita di software e servizi illegali, vediamo come funziona il settore della botnet, servendo i proprietari di reti zombie.

La prima cosa è necessaria per creare un botnet è il bot, un programma che consente di eseguire remoto alcune azioni sul computer dell'utente senza la conoscenza dell'utente. È possibile acquistare facilmente un software per creare una botnet, trovare un annuncio appropriato e contattare colui che ha pubblicato.

Fico. 4. Annuncio della vendita di Bot and Control Panel (traduzione dal russo)

I prezzi per i robot variano da $ 5 a $ 1000, a seconda di quanto sia comune il bot, se viene rilevato da Antivirus, che comanda il supporto, ecc.

Per creare la botnet più semplice orientata al web, è necessario disporre di una piattaforma di hosting in cui è possibile posizionare il centro di controllo. Chiunque può acquistare una tale piattaforma - insieme ai servizi del servizio di supporto e la possibilità di lavori anonimi con il server (l'hoster, di regola, garantisce l'indisponibilità dei file di registro per qualcuno, anche per le autorità "competenti") . Un annuncio come quanto segue, ci sono parecchio sui forum su Internet.

Fico. 5. Offrire servizi di hosting per costruire una botnet

Quando il sito C & C è stato costruito, le auto infette dal bot. Coloro che desiderano acquistare una rete finita con un bot installato "sconosciuto". Dal momento che i casi di Botnet il furto dell'ambiente dell'attaccante non sono rari, gli acquirenti tendono a preferire sostituire il proprio programma e dannoso e il centro di gestione, ricevendo il controllo garantito sulla rete zombie. Per fare ciò, il bot nella rete acquistata dà al team di scaricare e lanciare un nuovo bot (con il nuovo indirizzo C & C) e l'autodifesa. Pertanto, il programma di programma "alieno" è sostituito da "ITS" e inizia a interagire con il nuovo centro di controllo. Tale "reset" di Botnet è notevole e dal punto di vista della loro sicurezza e dell'anonimato: "Vecchio" C & C e vecchio bot prima che la vendita possa entrare nel campo visivo degli specialisti della sicurezza informatica.

Sfortunatamente, costruisci la tua botnet non è anche difficile: ci sono mezzi speciali per questo. Il più popolare di loro sono pacchetti software, noti come MPack, Icepack e WebATTACKER. Ti permettono di infettare il sistema informatico dei visitatori a una pagina Web dannosa utilizzando le vulnerabilità nel software del browser o in plugins. Tali pacchetti software sono chiamati sistemi di massa di infezione da massa o semplicemente exploitpack. Dopo aver attivato lo exploit, il browser sottometterà il file eseguibile dalla rete al computer dell'utente e inizialo. Tale file è solo un programma-bot, che collega un nuovo computer zombie in una botnet e trasferisce l'attaccante a loro.

Sfortunatamente, questi fondi sono così disponibili che anche gli adolescenti li trovano facilmente e cercano di guadagnare in rivendita.

Fico. 6. Annuncio della vendita di mpack, pubblicato da un adolescente di 16 anni

È curioso che Exploitpack sia stato originariamente sviluppato da hacker russi, ma ha trovato i loro clienti in altri paesi. Questi programmi dannosi sono stati localizzati (che testimoniano il loro successo commerciale nel mercato nero) e ora vengono utilizzati attivamente, ad esempio, in Cina.

Fico. 7. Versione russa originale Icepack

Fico. 8. Versione cinese localizzata Icepack

Qualsiasi sistema è il più popolare e il più successo nel mercato cyber-criminale, più facile è quello di usarlo. Ciò è anche compreso dagli sviluppatori di tali sistemi, pertanto, per aumentare la popolarità dei loro figli e, di conseguenza, un aumento della domanda per loro sta sviluppando semplici meccanismi di installazione e configurazione dei sistemi - se si tratta di un sistema per c & c o solo Exploitpack.

Ad esempio, l'installazione del Centro di comando, come regola, consiste nel copiare file sul lato del server Web e gestire il browser nello script di installazione.php. Facilita significativamente il compito. Avere un'interfaccia web del programma di installazione: i cybercriminali riempiono sufficientemente correttamente ai campi del modulo Web in modo che il centro di comando sia configurato correttamente e ha iniziato a funzionare.

Fico. 9. Installatore Web C & C

Nel mondo cybercriminale è noto che prima o successivi antivirus inizieranno a rilevare il programma BOT. Di conseguenza, quelle macchine infette su cui gli stand antivirus andranno persi per gli intrusi, e la velocità di infezione dei nuovi computer diminuirà in modo significativo. Ci sono diversi modi con i quali i padroni di casa dei botnet stanno cercando di salvare le loro reti. Il più efficace è quello di proteggere il malware dal rilevare utilizzando un trattamento speciale del codice eseguibile: il mercato cyber-crime offre un'ampia selezione di servizi per la sua crittografia, imballaggio e offuscamento.

Condividere.
Condividere.
Tweet.
Piace.
Piace.

Leggi anche

La campana.

Ci sono quelli che hanno letto questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere la campana
Senza spam.