Jump to content

Праздники

Festi — это руткит и ботнет, также известный под псевдонимом Spamnost , который в основном занимается спамом по электронной почте и атаками типа «отказ в обслуживании» . Работает под операционными системами семейства Windows. Осень 2009 года [1] [2] Festi впервые попала в поле зрения компаний, занимающихся разработкой и продажей антивирусного ПО . На тот момент было подсчитано, что сам ботнет состоял примерно из 25 000 зараженных машин, а объем спама составлял примерно 2,5 миллиарда спам-сообщений в день. [3] [4] [5] Наибольшую активность Festi проявила в 2011-2012 годах. [6] [7] Более поздние оценки, датированные августом 2012 года, показывают, что ботнет рассылает спам с 250 000 уникальных IP-адресов, что составляет четверть от общего количества обнаруженных IP-адресов, рассылающих спам-сообщения. [8] Основной функционал ботнета Festi — рассылка спама и реализация кибератак типа « распределенный отказ в обслуживании ». [9]

Методы распространения

[ редактировать ]

Распространение осуществляется по схеме PPI (Pay-Per-Install). [10] использовать. Для предотвращения обнаружения антивирусами загрузчик расширяется зашифрованным [10] это усложняет обнаружение на основе сигнатур .

Архитектура

[ редактировать ]

Все представленные данные об архитектуре ботнета мы собрали из исследований антивирусной компании ESET. [10] [11] [12] Загрузчик скачивает и устанавливает бота, представляющего собой драйвер режима ядра , который добавляет себя в список драйверов , запускающихся вместе с операционной системой. На жестком диске хранится только та часть бота, которая отвечает за связь с командным центром и загрузку модулей. После запуска бот периодически запрашивает в командном центре получение конфигурации, загрузку модулей и необходимых для выполнения заданий.

Из исследований, проведенных специалистами антивирусной компании ESET , известно, что Festi имеет как минимум два модуля. Один из них предназначен для рассылки спама (BotSpam.dll), другой — для реализации кибератак типа «распределенный отказ в обслуживании» (BotDoS.dll). Модуль реализации кибератак типа «распределенный отказ в обслуживании» поддерживает следующие виды кибератак, а именно: TCP-флуд, UDP-флуд, DNS-флуд, HTTP(s)-флуд, а также флуд пакетов со случайным числом в вопрос об используемом протоколе.

Эксперт «Лаборатории Касперского », исследующий ботнет, сделал вывод, что модулей больше, но не все из них используются. В их список входят модуль реализации сокс-сервера (BotSocks.dll) с протоколами TCP и UDP, модуль удаленного просмотра и управления компьютером пользователя (BotRemote.dll), модуль, реализующий поиск по диску пользователя. удаленный компьютер и в локальной сети (BotSearch.dll), к которой подключен удаленный компьютер, граббер-модули для всех известных на данный момент браузеров (BotGrabber.dll).

Модули никогда не сохраняются на жестком диске, что делает практически невозможным их обнаружение.

Сетевое взаимодействие

[ редактировать ]

Бот использует клиент-серверную модель и для функционирования реализует собственный протокол сетевого взаимодействия с командным центром, который используется для получения конфигурации ботнета, загрузки модулей, а также для получения заданий от командного центра и уведомления командного центра об их выполнении. . Данные закодированы, что мешает определению содержимого сетевого трафика.

Защита от обнаружения и отладки

[ редактировать ]

В случае установки бот отключает системный фаервол , скрывает драйвер режима ядра и необходимые для загрузки и работы ключи системного реестра , защищает себя и ключи реестра от удаления. Работа с сетью происходит на низком уровне, что позволяет легко обходить сетевые фильтры антивирусного ПО. Использование сетевых фильтров наблюдается для предотвращения их установки. Бот проверяет, запущен ли он под виртуальной машиной , в случае положительного результата проверки прекращает деятельность. Festi периодически проверяет наличие отладчика и умеет удалять точки останова .

Объектно-ориентированный подход к разработке

[ редактировать ]

Festi создан с использованием объектно-ориентированной технологии разработки программного обеспечения, что сильно усложняет исследования методом реверс-инжиниринга и делает бота легко портируемым для других операционных систем.

Контроль

[ редактировать ]

Все управление ботнетом Festi реализовано посредством веб-интерфейса и осуществляется через браузер.

Кто стоит за Фести

[ редактировать ]

По мнению специалистов антивирусной компании ESET, [12] американскому журналисту и блоггеру Брайану Кребсу , [13] эксперт в области информационной безопасности, по словам американского журналиста газеты The New York Times Эндрю Крамера, [14] а также из источников, близких к российским спецслужбам, архитектора и разработчика ботнета Festi — российского хакера Игоря Артимовича .

Заключение

[ редактировать ]

В заключение можно сказать, что ботнет Festi был одним из самых мощных ботнетов для рассылки спама и проведения атак типа «распределенный отказ в обслуживании». Принципы, по которым построен ботнет Festi, максимально увеличивают время жизни ботов в системе, препятствуют обнаружению ботов антивирусным ПО и сетевыми фильтрами. Механизм модулей позволяет расширить функциональность ботнета в любую сторону посредством создания и загрузки необходимых модулей для достижения различных целей, а объектно-ориентированный подход к разработке усложняет исследование ботнета с использованием методов обратного инжиниринга и дает возможность портирования бота на другие операционные системы за счет четкого разграничения специфичного для конкретной операционной системы функционала и остальной логики бота. Мощные системы противодействия обнаружению и отладке делают бота Festi практически невидимым и скрытным. Система привязок и использования резервных командных центров дает возможность восстановления контроля над ботнетом после смены командного центра. Festi – нетипичный пример вредоносное программное обеспечение , поскольку авторы крайне серьезно подошли к процессу его разработки. [15]

См. также

[ редактировать ]
  1. ^ Льюис, Дарен (5 ноября 2009 г.). «Ботнет Festi превращается в один из основных ботнетов, рассылающих спам» . Симантек Коннект .
  2. ^ Каплан, Дэн (6 ноября 2009 г.). «Появляется ботнет Festi» . Журнал СК .
  3. ^ Джексон Хиггинс, Келли (6 ноября 2009 г.). «Новый ботнет, рассылающий спам, становится все более популярным – мрачное чтение» . тёмное чтение . Архивировано из оригинала 7 августа 2012 года . Проверено 15 декабря 2013 г.
  4. ^ Ваттанаянтра, Асавин (6 ноября 2009 г.). « Festi» становится тяжеловесом по спам-ботам» . ИТПРО .
  5. ^ «Botnet Festi невероятно растет» . СПАМфайтер . 18 ноября 2009 г.
  6. ^ Кирк, Джереми (16 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Мир ПК .
  7. ^ Кирк, Джереми (17 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты» . Консультант по ПК . Архивировано из оригинала 15 декабря 2013 года . Проверено 4 декабря 2013 г.
  8. ^ Сааринен, Юха (20 августа 2012 г.). «Ботнет Festi увеличивает объемы спама» . ITНовости .
  9. ^ «Ботнет Festi помогает запустить DDoS-атаку типа «отказ в обслуживании»» . Остановите хакеров . 13 июня 2012 г.
  10. ^ Jump up to: а б с Matrosov, Aleksandr (May 11, 2012). "King of Spam: Festi botnet analysis" . ESET .
  11. ^ Родионов, Евгений (2011). «Анализ и расследование ботнетов Festi» (PDF) . ЭСЕТ . Архивировано из оригинала (PDF) 15 декабря 2013 г.
  12. ^ Jump up to: а б Матросов, Александр (12–14 ноября 2012 г.). «Анализ и расследование ботнетов Festi» (PDF) . АВАР 2012 . Архивировано из оригинала (PDF) 15 декабря 2013 г.
  13. ^ Кребс, Брайан (12 июня 2012 г.). «Кто такой ботмастер «Фести»?» . Кребс о безопасности .
  14. ^ Крамер, Эндрю (2 сентября 2013 г.). «Интернет-атака приводит к проникновению в спам-притон» . Нью-Йорк Таймс .
  15. ^ «Фести: зловредное и бестелесное» . Журнал Хакеп . Сентябрь 2012.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 0442f0a8cddadfb41ba5e69185e033d7__1714419540
URL1:https://arc.ask3.ru/arc/aa/04/d7/0442f0a8cddadfb41ba5e69185e033d7.html
Заголовок, (Title) документа по адресу, URL1:
Festi - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)