Rootkit Rustock.C: rozwiązanie zagadki

Przeczytaj także: Rootkity zastępujące MBR dysku

Botnet

Przypuszczenie, że aktywna dystrybucja Rustocka rozpoczęła się 10 września 2007 roku potwierdziło się. Niestety, metoda i kanały wykorzystywane do dystrybucji Rustocka zaniepokoją wielu ekspertów bezpieczeństwa IT. Każdemu specjaliście z zakresu rozwiązań antywirusowych nie będą obce następujące nazwy:

CoolWebSearch / IFrameBiz / Trafficadvance / LoadAdv.

Tak, po raz kolejny mamy do czynienia z jedną z najbardziej znanych grup cyberprzestępczych w Internecie, a powyższe nazwy dotyczą stron internetowych i szkodliwych programów. Gang ten istnieje od początku 2004 roku lub dłużej i nadal jest aktywny. Najbardziej znanymi i najszerzej rozpowszechnionymi tworami tej grupy były takie trojany, jak Harnig, Tibs, Femad, LoadAdv i różne modyfikacje trojana Trojan-Downloader.Agent i Small, jak również Inject Trojan.

Grupa ta od zawsze należała do awangardy pod względem innowacyjności wirusów: jako pierwsza zastosowała na dużą skalę trojany downloadery w plikach chm; to właśnie na jej serwerach znaleziono pierwsze warianty exploitów wykorzystujących luki w zabezpieczeniach przetwarzania plików ANI i ICO. To właśnie ta grupa wykorzystywała trojany napisane w języku programowania Java (Trojan-Downloader.Java.ClassLoader) i zapoczątkowała modę na downloadery skryptowe.

Znakiem rozpoznawczym grupy IFrameBiz były domeny w obszarze .biz i nazwy plików w formacie loadadv*.exe.

Ślady grupy prowadzą do Rosji, gdzie bez wątpienia mieszka większość jej członków. W początkowych etapach swojego istnienia grupa ta w dużym stopniu wykorzystywała zasoby hostingowe zlokalizowane w St. Petersburgu. Wiadomo również, że współpracowała z niesławną siecią RBN (Russia Business Network), którą wielu ekspertów wiąże z tym miastem.

W ciągu czterech lat swego istnienia grupa stworzyła jeden z najpotężniejszych obecnie systemów rozprzestrzeniania szkodliwych programów. Jej botnet, złożony z milionów komputerów zainfekowanych różnymi trojanami downloaderami (głównie Tibs i Femad) potrafi w bardzo krótkim czasie zainstalować dowolny nowy szkodliwy program na zainfekowanym komputerze. Obecnie jest to najlepsza alternatywa dla wysyłania szkodliwego kodu za pośrednictwem poczty elektronicznej.

Botnet IFrameBiz jest aktywnie wykorzystywany w celu rozprzestrzeniania nowych szkodliwych programów. Klienci płacą za czas, w którym ich trojany będą rozprzestrzeniane za pośrednictwem botnetu. Następnie trojany są pobierane na zainfekowane maszyny. Powszechną praktyką jest instalowanie przez tego samego downloadera (np. Tibs) kilku trojanów od różnych klientów. Istnieje spore zapotrzebowanie na taką usługę, a klienci nie mają pojęcia, że ich zlecenia są realizowane w tym samym czasie co zlecenia kilku innych klientów.

Usługi oferowane przez botnet IFrameBiz były i są wykorzystywane przez twórców wielu programów adware, przez osoby, które chcą stworzyć swoje własne botnety, spamerów, osoby przeprowadzające ataki DDoS itd. Można powiedzieć, że sieć RBN stanowi sprzętowo-techniczną część biznesu twórców wirusów, natomiast IFrameBiz część programową, jak również punkt startowy dla licznych szkodliwych programów.

Autorzy Rustocka złożyli zamówienie na rozprzestrzenianie swojego rootkita za pośrednictwem botnetu IFrameBiz latem 2007 roku. Stworzono zupełnie nowy moduł rozprzestrzeniania rootkita za pośrednictwem kanałów IFrameBiz. Być może trojany IFrameBiz nie potrafiły niezauważenie aktywować Rustocka w systemach użytkownika, może autorzy rootkita chcieli zachować kod rootkita w tajemnicy, obawiając się, że ich pomysł lub technologia zostaną skradzione.