Праздники
В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения )
|
Festi — это руткит и ботнет, также известный под псевдонимом Spamnost , который в основном занимается спамом по электронной почте и атаками типа «отказ в обслуживании» . Работает под операционными системами семейства Windows. Осень 2009 года [1] [2] Festi впервые попала в поле зрения компаний, занимающихся разработкой и продажей антивирусного ПО . На тот момент было подсчитано, что сам ботнет состоял примерно из 25 000 зараженных машин, а объем спама составлял примерно 2,5 миллиарда спам-сообщений в день. [3] [4] [5] Наибольшую активность Festi проявила в 2011-2012 годах. [6] [7] Более поздние оценки, датированные августом 2012 года, показывают, что ботнет рассылает спам с 250 000 уникальных IP-адресов, что составляет четверть от общего количества обнаруженных IP-адресов, рассылающих спам-сообщения. [8] Основной функционал ботнета Festi — рассылка спама и реализация кибератак типа « распределенный отказ в обслуживании ». [9]
Методы распространения
[ редактировать ]Распространение осуществляется по схеме PPI (Pay-Per-Install). [10] использовать. Для предотвращения обнаружения антивирусами загрузчик расширяется зашифрованным [10] это усложняет обнаружение на основе сигнатур .
Архитектура
[ редактировать ]Все представленные данные об архитектуре ботнета мы собрали из исследований антивирусной компании ESET. [10] [11] [12] Загрузчик скачивает и устанавливает бота, представляющего собой драйвер режима ядра , который добавляет себя в список драйверов , запускающихся вместе с операционной системой. На жестком диске хранится только та часть бота, которая отвечает за связь с командным центром и загрузку модулей. После запуска бот периодически запрашивает в командном центре получение конфигурации, загрузку модулей и необходимых для выполнения заданий.
Модули
[ редактировать ]Из исследований, проведенных специалистами антивирусной компании ESET , известно, что Festi имеет как минимум два модуля. Один из них предназначен для рассылки спама (BotSpam.dll), другой — для реализации кибератак типа «распределенный отказ в обслуживании» (BotDoS.dll). Модуль реализации кибератак типа «распределенный отказ в обслуживании» поддерживает следующие виды кибератак, а именно: TCP-флуд, UDP-флуд, DNS-флуд, HTTP(s)-флуд, а также флуд пакетов со случайным числом в вопрос об используемом протоколе.
Эксперт «Лаборатории Касперского », исследующий ботнет, сделал вывод, что модулей больше, но не все из них используются. В их список входят модуль реализации сокс-сервера (BotSocks.dll) с протоколами TCP и UDP, модуль удаленного просмотра и управления компьютером пользователя (BotRemote.dll), модуль, реализующий поиск по диску пользователя. удаленный компьютер и в локальной сети (BotSearch.dll), к которой подключен удаленный компьютер, граббер-модули для всех известных на данный момент браузеров (BotGrabber.dll).
Модули никогда не сохраняются на жестком диске, что делает практически невозможным их обнаружение.
Сетевое взаимодействие
[ редактировать ]Бот использует клиент-серверную модель и для функционирования реализует собственный протокол сетевого взаимодействия с командным центром, который используется для получения конфигурации ботнета, загрузки модулей, а также для получения заданий от командного центра и уведомления командного центра об их выполнении. . Данные закодированы, что мешает определению содержимого сетевого трафика.
Защита от обнаружения и отладки
[ редактировать ]В случае установки бот отключает системный фаервол , скрывает драйвер режима ядра и необходимые для загрузки и работы ключи системного реестра , защищает себя и ключи реестра от удаления. Работа с сетью происходит на низком уровне, что позволяет легко обходить сетевые фильтры антивирусного ПО. Использование сетевых фильтров наблюдается для предотвращения их установки. Бот проверяет, запущен ли он под виртуальной машиной , в случае положительного результата проверки прекращает деятельность. Festi периодически проверяет наличие отладчика и умеет удалять точки останова .
Объектно-ориентированный подход к разработке
[ редактировать ]Festi создан с использованием объектно-ориентированной технологии разработки программного обеспечения, что сильно усложняет исследования методом реверс-инжиниринга и делает бота легко портируемым для других операционных систем.
Контроль
[ редактировать ]Все управление ботнетом Festi реализовано посредством веб-интерфейса и осуществляется через браузер.
Кто стоит за Фести
[ редактировать ]По мнению специалистов антивирусной компании ESET, [12] американскому журналисту и блоггеру Брайану Кребсу , [13] эксперт в области информационной безопасности, по словам американского журналиста газеты The New York Times Эндрю Крамера, [14] а также из источников, близких к российским спецслужбам, архитектора и разработчика ботнета Festi — российского хакера Игоря Артимовича .
Заключение
[ редактировать ]В заключение можно сказать, что ботнет Festi был одним из самых мощных ботнетов для рассылки спама и проведения атак типа «распределенный отказ в обслуживании». Принципы, по которым построен ботнет Festi, максимально увеличивают время жизни ботов в системе, препятствуют обнаружению ботов антивирусным ПО и сетевыми фильтрами. Механизм модулей позволяет расширить функциональность ботнета в любую сторону посредством создания и загрузки необходимых модулей для достижения различных целей, а объектно-ориентированный подход к разработке усложняет исследование ботнета с использованием методов обратного инжиниринга и дает возможность портирования бота на другие операционные системы за счет четкого разграничения специфичного для конкретной операционной системы функционала и остальной логики бота. Мощные системы противодействия обнаружению и отладке делают бота Festi практически невидимым и скрытным. Система привязок и использования резервных командных центров дает возможность восстановления контроля над ботнетом после смены командного центра. Festi – нетипичный пример вредоносное программное обеспечение , поскольку авторы крайне серьезно подошли к процессу его разработки. [15]
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Льюис, Дарен (5 ноября 2009 г.). «Ботнет Festi превращается в один из основных ботнетов, рассылающих спам» . Симантек Коннект .
- ^ Каплан, Дэн (6 ноября 2009 г.). «Появляется ботнет Festi» . Журнал СК .
- ^ Джексон Хиггинс, Келли (6 ноября 2009 г.). «Новый ботнет, рассылающий спам, становится все более популярным – мрачное чтение» . тёмное чтение . Архивировано из оригинала 7 августа 2012 года . Проверено 15 декабря 2013 г.
- ^ Ваттанаянтра, Асавин (6 ноября 2009 г.). « Festi» становится тяжеловесом по спам-ботам» . ИТПРО .
- ^ «Botnet Festi невероятно растет» . СПАМфайтер . 18 ноября 2009 г.
- ^ Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Мир ПК .
- ^ Кирк, Джереми (17 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Консультант по ПК . Архивировано из оригинала 15 декабря 2013 года . Проверено 4 декабря 2013 г.
- ^ Сааринен, Юха (20 августа 2012 г.). «Ботнет Festi увеличивает объемы спама» . ITНовости .
- ^ «Ботнет Festi помогает запустить DDoS-атаку типа «отказ в обслуживании»» . Остановите хакеров . 13 июня 2012 г.
- ^ Jump up to: а б с Matrosov, Aleksandr (May 11, 2012). "King of Spam: Festi botnet analysis" . ESET .
- ^ Родионов, Евгений (2011). «Анализ и расследование ботнетов Festi» (PDF) . ЭСЕТ . Архивировано из оригинала (PDF) 15 декабря 2013 г.
- ^ Jump up to: а б Матросов, Александр (12–14 ноября 2012 г.). «Анализ и расследование ботнетов Festi» (PDF) . АВАР 2012 . Архивировано из оригинала (PDF) 15 декабря 2013 г.
- ^ Кребс, Брайан (12 июня 2012 г.). «Кто такой ботмастер «Фести»?» . Кребс о безопасности .
- ^ Крамер, Эндрю (2 сентября 2013 г.). «Интернет-атака приводит к проникновению в спам-притон» . Нью-Йорк Таймс .
- ^ «Фести: зловредное и бестелесное» . Журнал Хакеп . Сентябрь 2012.
Внешние ссылки
[ редактировать ]- Топ-10 ботнетов и их влияние, 9 декабря 2009 г., Топ-10 ботнетов и их влияние, Help Net Security
- Десять самых разыскиваемых бот-сетей, рассылающих спам, Rustock, Mega-D, Festi, Pushdo среди худших нарушителей бот-сетей, 15 июля 2010 г., Эллен Мессмер, Network World
- Новая эра ботнетов, официальный документ
- Ботнет Festi вступает во владение после закрытия Grum, 17 августа 2012 г., ComputerWorld UK
- Спам-ботнеты: падение Grum и взлет Festi, 16 августа 2012 г., Томас Моррисон, SPAMHAUS
- Spamhaus: Grum Dead, Festi Alive and Well, 22 августа 2012 г., Малкольм Джеймс, All Spammed Up
- Глобальная угроза ботнетов, 14 ноября 2012 г., MacAfee