Праздники

Festi — это руткит и ботнет, также известный под псевдонимом Spamnost , который в основном занимается спамом по электронной почте и атаками типа «отказ в обслуживании» . Работает под операционными системами семейства Windows. Осень 2009 года ^[1]^[2] Festi впервые попала в поле зрения компаний, занимающихся разработкой и продажей антивирусного ПО . На тот момент было подсчитано, что сам ботнет состоял примерно из 25 000 зараженных машин, а объем спама составлял примерно 2,5 миллиарда спам-сообщений в день. ^[3]^[4]^[5] Наибольшую активность Festi проявила в 2011-2012 годах. ^[6]^[7] Более поздние оценки, датированные августом 2012 года, показывают, что ботнет рассылает спам с 250 000 уникальных IP-адресов, что составляет четверть от общего количества обнаруженных IP-адресов, рассылающих спам-сообщения. ^[8] Основной функционал ботнета Festi — рассылка спама и реализация кибератак типа « распределенный отказ в обслуживании ». ^[9]

Методы распространения

Распространение осуществляется по схеме PPI (Pay-Per-Install). ^[10] использовать. Для предотвращения обнаружения антивирусами загрузчик расширяется зашифрованным ^[10] это усложняет обнаружение на основе сигнатур .

Архитектура

Все представленные данные об архитектуре ботнета мы собрали из исследований антивирусной компании ESET. ^[10]^[11]^[12] Загрузчик скачивает и устанавливает бота, представляющего собой драйвер режима ядра , который добавляет себя в список драйверов , запускающихся вместе с операционной системой. На жестком диске хранится только та часть бота, которая отвечает за связь с командным центром и загрузку модулей. После запуска бот периодически запрашивает в командном центре получение конфигурации, загрузку модулей и необходимых для выполнения заданий.

Модули

Из исследований, проведенных специалистами антивирусной компании ESET , известно, что Festi имеет как минимум два модуля. Один из них предназначен для рассылки спама (BotSpam.dll), другой — для реализации кибератак типа «распределенный отказ в обслуживании» (BotDoS.dll). Модуль реализации кибератак типа «распределенный отказ в обслуживании» поддерживает следующие виды кибератак, а именно: TCP-флуд, UDP-флуд, DNS-флуд, HTTP(s)-флуд, а также флуд пакетов со случайным числом в вопрос об используемом протоколе.

Эксперт «Лаборатории Касперского », исследующий ботнет, сделал вывод, что модулей больше, но не все из них используются. В их список входят модуль реализации сокс-сервера (BotSocks.dll) с протоколами TCP и UDP, модуль удаленного просмотра и управления компьютером пользователя (BotRemote.dll), модуль, реализующий поиск по диску пользователя. удаленный компьютер и в локальной сети (BotSearch.dll), к которой подключен удаленный компьютер, граббер-модули для всех известных на данный момент браузеров (BotGrabber.dll).

Модули никогда не сохраняются на жестком диске, что делает практически невозможным их обнаружение.

Сетевое взаимодействие

Бот использует клиент-серверную модель и для функционирования реализует собственный протокол сетевого взаимодействия с командным центром, который используется для получения конфигурации ботнета, загрузки модулей, а также для получения заданий от командного центра и уведомления командного центра об их выполнении. . Данные закодированы, что мешает определению содержимого сетевого трафика.

Защита от обнаружения и отладки

В случае установки бот отключает системный фаервол , скрывает драйвер режима ядра и необходимые для загрузки и работы ключи системного реестра , защищает себя и ключи реестра от удаления. Работа с сетью происходит на низком уровне, что позволяет легко обходить сетевые фильтры антивирусного ПО. Использование сетевых фильтров наблюдается для предотвращения их установки. Бот проверяет, запущен ли он под виртуальной машиной , в случае положительного результата проверки прекращает деятельность. Festi периодически проверяет наличие отладчика и умеет удалять точки останова .

Объектно-ориентированный подход к разработке

Festi создан с использованием объектно-ориентированной технологии разработки программного обеспечения, что сильно усложняет исследования методом реверс-инжиниринга и делает бота легко портируемым для других операционных систем.

Контроль

Все управление ботнетом Festi реализовано посредством веб-интерфейса и осуществляется через браузер.

Кто стоит за Фести

По мнению специалистов антивирусной компании ESET, ^[12] американскому журналисту и блоггеру Брайану Кребсу , ^[13] эксперт в области информационной безопасности, по словам американского журналиста газеты The New York Times Эндрю Крамера, ^[14] а также из источников, близких к российским спецслужбам, архитектора и разработчика ботнета Festi — российского хакера Игоря Артимовича .

Заключение

В заключение можно сказать, что ботнет Festi был одним из самых мощных ботнетов для рассылки спама и проведения атак типа «распределенный отказ в обслуживании». Принципы, по которым построен ботнет Festi, максимально увеличивают время жизни ботов в системе, препятствуют обнаружению ботов антивирусным ПО и сетевыми фильтрами. Механизм модулей позволяет расширить функциональность ботнета в любую сторону посредством создания и загрузки необходимых модулей для достижения различных целей, а объектно-ориентированный подход к разработке усложняет исследование ботнета с использованием методов обратного инжиниринга и дает возможность портирования бота на другие операционные системы за счет четкого разграничения специфичного для конкретной операционной системы функционала и остальной логики бота. Мощные системы противодействия обнаружению и отладке делают бота Festi практически невидимым и скрытным. Система привязок и использования резервных командных центров дает возможность восстановления контроля над ботнетом после смены командного центра. Festi – нетипичный пример вредоносное программное обеспечение , поскольку авторы крайне серьезно подошли к процессу его разработки. ^[15]

См. также

Ссылки

^ Льюис, Дарен (5 ноября 2009 г.). «Ботнет Festi превращается в один из основных ботнетов, рассылающих спам» . Симантек Коннект .
^ Каплан, Дэн (6 ноября 2009 г.). «Появляется ботнет Festi» . Журнал СК .
^ Джексон Хиггинс, Келли (6 ноября 2009 г.). «Новый ботнет, рассылающий спам, становится все более популярным – мрачное чтение» . тёмное чтение . Архивировано из оригинала 7 августа 2012 года . Проверено 15 декабря 2013 г.
^ Ваттанаянтра, Асавин (6 ноября 2009 г.). « Festi» становится тяжеловесом по спам-ботам» . ИТПРО .
^ «Botnet Festi невероятно растет» . СПАМфайтер . 18 ноября 2009 г.
^ Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Мир ПК .
^ Кирк, Джереми (17 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Консультант по ПК . Архивировано из оригинала 15 декабря 2013 года . Проверено 4 декабря 2013 г.
^ Сааринен, Юха (20 августа 2012 г.). «Ботнет Festi увеличивает объемы спама» . ITНовости .
^ «Ботнет Festi помогает запустить DDoS-атаку типа «отказ в обслуживании»» . Остановите хакеров . 13 июня 2012 г.
^ Jump up to: ^а ^б ^с Matrosov, Aleksandr (May 11, 2012). "King of Spam: Festi botnet analysis" . ESET .
^ Родионов, Евгений (2011). «Анализ и расследование ботнетов Festi» (PDF) . ЭСЕТ . Архивировано из оригинала (PDF) 15 декабря 2013 г.
^ Jump up to: ^а ^б Матросов, Александр (12–14 ноября 2012 г.). «Анализ и расследование ботнетов Festi» (PDF) . АВАР 2012 . Архивировано из оригинала (PDF) 15 декабря 2013 г.
^ Кребс, Брайан (12 июня 2012 г.). «Кто такой ботмастер «Фести»?» . Кребс о безопасности .
^ Крамер, Эндрю (2 сентября 2013 г.). «Интернет-атака приводит к проникновению в спам-притон» . Нью-Йорк Таймс .
^ «Фести: зловредное и бестелесное» . Журнал Хакеп . Сентябрь 2012.

Внешние ссылки

[Lewis-1] Льюис, Дарен (5 ноября 2009 г.). «Ботнет Festi превращается в один из основных ботнетов, рассылающих спам» . Симантек Коннект .

[Kaplan-2] Каплан, Дэн (6 ноября 2009 г.). «Появляется ботнет Festi» . Журнал СК .

[Higgins-3] Джексон Хиггинс, Келли (6 ноября 2009 г.). «Новый ботнет, рассылающий спам, становится все более популярным – мрачное чтение» . тёмное чтение . Архивировано из оригинала 7 августа 2012 года . Проверено 15 декабря 2013 г.

[Wattanajantra-4] Ваттанаянтра, Асавин (6 ноября 2009 г.). « Festi» становится тяжеловесом по спам-ботам» . ИТПРО .

[SpamFighter-5] «Botnet Festi невероятно растет» . СПАМфайтер . 18 ноября 2009 г.

[Kirk-6] Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Мир ПК .

[Kirk2-7] Кирк, Джереми (17 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Консультант по ПК . Архивировано из оригинала 15 декабря 2013 года . Проверено 4 декабря 2013 г.

[Saarinen-8] Сааринен, Юха (20 августа 2012 г.). «Ботнет Festi увеличивает объемы спама» . ITНовости .

[Stop_Hackers-9] «Ботнет Festi помогает запустить DDoS-атаку типа «отказ в обслуживании»» . Остановите хакеров . 13 июня 2012 г.

[Matrosov-10] Jump up to: ^а ^б ^с Matrosov, Aleksandr (May 11, 2012). "King of Spam: Festi botnet analysis" . ESET .

[Rodionov-11] Родионов, Евгений (2011). «Анализ и расследование ботнетов Festi» (PDF) . ЭСЕТ . Архивировано из оригинала (PDF) 15 декабря 2013 г.

[Matrosov2-12] Jump up to: ^а ^б Матросов, Александр (12–14 ноября 2012 г.). «Анализ и расследование ботнетов Festi» (PDF) . АВАР 2012 . Архивировано из оригинала (PDF) 15 декабря 2013 г.

[Krebs-13] Кребс, Брайан (12 июня 2012 г.). «Кто такой ботмастер «Фести»?» . Кребс о безопасности .

[Kramer-14] Крамер, Эндрю (2 сентября 2013 г.). «Интернет-атака приводит к проникновению в спам-притон» . Нью-Йорк Таймс .

[Xakep-15] «Фести: зловредное и бестелесное» . Журнал Хакеп . Сентябрь 2012.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]