Sieci botnet: dochodowy interes

Przeczytaj także: Komputer zombie - zagrożenie nie tylko w Halloween

• Zorientowane na Sieć WWW. Jest to stosunkowo nowy i szybko rozwijający się typ botnetów, którego celem jest kontrolowanie sieci zombie w całej Sieci WWW. Bot łączy się z predefiniowanym serwerem sieciowym, otrzymuje od niego polecenia i w odpowiedzi przesyła do niego dane. Duża popularność takich sieci zombie wynika z tego, że ich stworzenie jest stosunkowo łatwe, w Internecie istnieje mnóstwo serwerów sieciowych i można wykorzystać interfejs sieciowy w celu łatwego zarządzania.
• Inne. Oprócz wymienionych wyżej rodzajów istnieją też inne typy botnetów, które komunikują się za pośrednictwem własnego protokołu opartego tylko na stosie TCP/IP, tj. wykorzystują tylko protokoły warstwy transportowej, takie jak TCP, ICMP oraz UDP.

Botnety P2P

1. Botnet robaka Storm

W 2007 roku uwagę ekspertów z zakresu bezpieczeństwa przyciągnął botnet P2P stworzony przy użyciu szkodliwego programu znanego jako robak Storm. Autorzy robaka Storm rozprzestrzeniali swój twór tak błyskawicznie, że wydawało się, że stworzyli specjalną taśmę do produkcji nowych wersji tego szkodnika. Od stycznia 2007 roku Kaspersky Lab wykrywał od trzech do pięciu nowych wariantów robaka Storm (Kaspersky Lab klasyfikuje go jako Email-Worm.Win32.Zhelatin) dziennie.

Niektórzy eksperci uważają, że robak Storm jest szkodliwym programem stworzonym w celu zbudowania sieci zombie nowej generacji. Najwyraźniej bot jest tworzony i dystrybuowany przez profesjonalistów i zarówno architektura sieci zombie, jak i jej ochrona jest dobrze zaprojektowana. Świadczą o tym następujące fakty:

• Kod bota mutuje się, przez co upodabnia się do wirusów polimorficznych. Jednak w przeciwieństwie do wirusów polimorficznych kod, który wykonuje mutację, nie działa w obrębie samego programu, ale na wyspecjalizowanym komputerze w Internecie. Mechanizm ten nosi nazwę polimorfizmu po stronie serwera.
• Mutacja odbywa się w stosunkowo dużym tempie (nawet w ciągu godziny) i co ważniejsze po stronie serwera, przez co aktualizacje antywirusowych baz danych są w przypadku wielu użytkowników nieskuteczne.
• Botnet robaka Storm został zabezpieczony przed ciekawością analityków bezpieczeństwa. Wiele firm antywirusowych regularnie pobiera nowe kopie robaka z serwera wykorzystywanego do rozprzestrzeniania tego szkodliwego programu. Po wykryciu częstych żądań pochodzących z tego samego adresu boty otrzymują polecenie przeprowadzenia ataku DDoS na ten adres.
• Bot próbuje pozostać jak najmniej widoczny na zainfekowanych maszynach. Oczywiście szkodliwe programy, które nieustannie przeprowadzają ataki, są łatwiejsze do wykrycia zarówno przez użytkowników jaki i administratorów systemu. Dlatego kontrolowana aktywność, która nie wykorzystuje dużej ilości zasobów systemowych, jest najbezpieczniejsza z punktu widzenia szkodliwego programu.
• Zamiast komunikować się z centralnym serwerem robak Storm łączy się z niewielką liczbą "sąsiednich" komputerów w zainfekowanej sieci. Przez to zidentyfikowanie wszystkich maszyn zombie w sieci P2P jest praktycznie niemożliwe. Tę samą zasadę wykorzystuje się podczas tworzenia grup oporu: każdy członek grupy zna tylko kilku innych członków, w związku z czym niepowodzenie jednego agenta nie oznacza niepowodzenia całej operacji.
• Autorzy robaka Storm nieustannie zmieniają metody rozprzestrzeniania go. Pierwotnie szkodliwy program był rozprzestrzeniany jako załącznik do wiadomości spamowych (głównie załącznik, który wyglądał jak pliki PDF). Później załączniki zastąpiono odsyłaczami do zainfekowanych plików, które zawarte były w wiadomościach spamowych. Próbowano również automatycznie umieszczać komentarze w blogach zawierające odsyłacze do zainfekowanych stron internetowych. Niezależnie od metody wykorzystywanej do rozprzestrzeniania szkodliwego programu jego autorzy stosowali zaawansowane sztuczki socjotechniczne.