15 września 2010

Jak działa internetowa mafia? II

środa, września 15, 2010 | Autor: \m/ojtek
W poprzednim artykule poświęconym kulisom działania internetowej mafii skupiliśmy się na przestępcach utrzymujących się z produkcji oraz dystrybucji oprogramowania służącego do tworzenia złośliwych witryn internetowych. Dziś natomiast zajmiemy się szczegółowo władcami botnetów, czyli grupami przestępczymi kontrolującymi ogromne sieci komputerów zombie, które to zdolne są do wykonywania masowych skoordynowanych ataków, przynoszących swym twórcom ogromne zyski. W roli głównej wystąpi nowy chiński botnet IMDDOS, który w ciągu ostatnich czterech miesięcy stał się jednym z największych tego typu aktywnych tworów na świeci.

Botnety, czyli grupy komputerów zainfekowanych złośliwym oprogramowaniem, pozwalającym komputerowym przestępcom na sprawowanie zdalnej kontroli nad swymi ofiarami, stanowią niezmiennie ogromy problem. Największe znane sieci komputerów zombie składają się z milionów maszyn i trudnią się zazwyczaj dystrybucją spamu, co przynosi ich twórcom krociowe zyski:

Na naszą wyobraźnię szczególnie działać może rozmiar niektórych botnetów, czyli tak naprawdę ich skuteczność w rekrutowaniu nowych komputerów oraz zaskakująca umiejętność przetrwania nawet wielu lat, jednak historia botnetu IMDDOS jest szczególnie interesująca.

Światowa kariera botnetu IMDDOS rozpoczęła się 20 marca 2010 r. od zarejestrowania przez jego twórców szeregu domen wykorzystywanych później do wielu różnych celów, w tym do dystrybucji złośliwego oprogramowania mającego infekować komputery internautów oraz do obsługi specyficznego biznesu internetowego, o którym za chwilę.

Pierwszym zadaniem nowo narodzonego botnetu jest zrekrutowanie jak największej liczby komputerów, które po zainfekowaniu ich złośliwym oprogramowaniem, będą posłusznie wykonywać zadania zlecane im z centrali, czyli z tzw. serwerów command-and-control (CnC). Pomimo, że malware IMDDOS (czyli program infekujący komputery i przyłączający je do botnetu IMDDOS) nie jest szczególnie skomplikowany i zaawansowany, okazał się bardzo skuteczny w werbowaniu tysięcy pecetów.

W kwietniu mieliśmy do czynienia z fazą testową, zlokalizowaną na terytorium Chin:
Jednak już w ciągu zaledwie dwóch kolejnych miesięcy botnet rozprzestrzenił się niemal na cały świat, w tym czasie obserwowano nawet 25000 unikalnych odwołań do domen skojarzonych z serwerami CnC ciągu jednej godziny :
Poniżej można zapoznać się z animacją prezentującą rozwój botnetu w ciągu kilku ostatnich miesięcy:


Mając już pokaźnych rozmiarów botnet, jego twórcy zaczęli oczywiście myśleć o zarabianiu pieniędzy. Zazwyczaj botnety są wykorzystywane do masowego dystrybuowania spamu, twórcy IMDDOS'a postanowili jednak nieco inaczej wykorzystać jego możliwości. W taki oto sposób powstał serwis internetowy handlujący... atakami typu DDOS:
Za odpowiednią sumę pieniędzy (na stronie nie ma cennika, w tej kwestii musimy skontaktować się z twórcami botnetu za pomocą chińskiego serwisu QQ) możemy za pośrednictwem powyższej witryny zakupić niemal dowolnie wybrany atak typu DDOS, który możemy następnie wymierzyć w praktycznie dowolnie wybrany cel.

Na powyższej stronie internetowej znajdziemy również wiele informacji technicznych, narzędzi, szczegółów dotyczących poszczególnych wersji złośliwego oprogramowania oraz oczywiście samych usług. Do wyboru mamy abonament miesięczny, roczny, a nawet dożywotnią subskrypcję. Oprócz właściwych usług, w pakiecie możemy otrzymać nawet wsparcie techniczne w modelu 24x7. Narzędzie przeznaczone dla klientów (operatorów wykupionego segmentu botnetu) końcowych jest proste w obsłudze i pozwala na wygodne korzystanie z wykupionych usług:
W taki oto sposób twórcy botnetu zbijają kokosy, a klienci mogą w prosty sposób uruchamiać i nadzorować potężne ataki typu DDOS, zdolne do całkowitego sparaliżowania nawet dość dużych serwisów i usług internetowych.

Botnet IMDDOS składa się z trzech zasadniczych elementów:
  • ze wspomnianego już złośliwego oprogramowania infekującego poszczególne komputery
  • z domen przechowujących informacje o celach (ang. Target-List Hosting Domain, TLHD)
  • z domen związanych z serwerami nadzorującymi (ang. Command-and-Control, CnC)
Malware infekujący poszczególne komputery jest dość prosty, jednak bardzo skuteczny. W razie udanego ataku (np. poprzez lukę w przeglądarce internetowej), program instaluje się w systemie Windows, a po ponownym uruchomieniu systemu będzie już aktywny jako jedna z uruchomionych usług. Zasadnicze działanie procesu sprowadza się do nieustannego odpytywania serwerów TLHD w poszukiwaniu nowych celów i ciągłego atakowania zleconych adresów. W międzyczasie występuje również komunikacja z serwerem CnC, który na bieżąco rozdziela poszczególne zadania na podstawie informacji (rodzaj systemu operacyjnego, wydajność systemu, itp.) zebranych z zainfekowanych komputerów. Komunikacja odbywająca się z serwerami CnC oraz TLHD nie jest w żaden sposób szyfrowana. Twórcy botnetu nie zaprzątali więc sobie głowy żadnymi wymyślnymi zabezpieczeniami, po prostu stworzyli oprogramowanie wystarczająco dobre i skuteczne.

Tak oto w krótkim czasie botnet IMDDOS stał się jedną z najpotężniejszych tego typu struktur na świecie. Świetna koordynacja wszystkich działań oraz zaoferowanie komercyjnych usług na wysokim poziomie, świadczą o tym, że jego twórcy z pewnością nie są niedzielnymi hakerami. Mamy raczej do czynienia z wysoce zorganizowaną grupą przestępczą, zorientowaną na wysoki i szybki zysk.

Nie jest żadną tajemnicą, że w ramach botnetu IMDDOS pracują nie tylko komputery prywatnych internautów, ale również maszyny należące do rozmaitych firm i instytucji. Malware IMDDOS zużywa sporo zasobów oraz generuje duży ruch sieciowy, jeśli więc nie chcemy by nasze komputery pracowały na rzecz chińskiej zorganizowanej grupy przestępczej, warto odpowiednio zadbać o ich bezpieczeństwo. Oprócz monitorowania bezpieczeństwa poszczególnych maszyn, warto monitorować ruch sieciowy w sieci LAN oraz transmisje na styku sieci lokalnej z Internetem, co powinno w dość prosty sposób pozwolić na wychwycenie niechcianej komunikacji.

Wygląda więc na to, że coraz częściej będziemy mieć do czynienia z nielegalnymi usługami, które można określić mianem MaaS (ang. malware as a service). Taki model dystrybuowania usług pozwala bowiem internetowej mafii na skuteczne pobieranie opłat za swe produkty i usługi, natomiast praktycznie każdemu zainteresowanemu pozwala na wykonanie zaawansowanych ataków internetowych. Warto jednak pamiętać, że skuteczność większości tego typu ataków jest uzależniona od skuteczności zabezpieczeń zastosowanych na na komputerach i serwerach pracujących w Internecie, wszyscy możemy więc przyczynić się do ograniczenia tego zjawiska.

[źródło]
Etykiety: , , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.