Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Prawie 40% szkodliwych programów łączy się z poddomenami 3322.org. Co można powiedzieć o tym dostawcy i dlaczego przyciąga cyberprzestępców?

Domena 3322.ord jest częścią dużego chińskiego projektu o nazwie cn99.com, który posiada ponad 35 milionów użytkowników. Popularność cn99.com w Chinach można łatwo wyjaśnić tym, że dostarcza on darmowe konta pocztowe oraz domeny trzeciego poziomu. Zgodnie z Kontraktem Serwisowym, klientom cn99.com nie wolno używać tych usług w sposób sprzeczny z chińskim i międzynarodowym prawem. Ponadto, Kontrakt zobowiązuje właściciela skrzynki pocztowej/domeny, aby używał autentycznych informacji osobowych, a w przypadku ich zmiany niezwłocznie je uaktualniał. Niestety, nie powstrzymuje to cyberprzestępców, którzy wykorzystują cn99.com, przed podawaniem fałszywych danych osobowych.

Zdaniem ekspertów wystarczy rzut oka na listę najpopularniejszych domen drugiego poziomu, aby zrozumieć, jaki jest powód ich popularności: wszyscy dostawcy posiadający te domeny oferują usługę znaną jako DDNS (Dynamic Domain Name System).

Usługi DDNS oraz cyberprzestępcy

Zadaniem usługi DDNS jest znalezienie serwerów z dynamicznymi adresami IP. Do kogo skierowana jest taka usługa? Mogą wykorzystywać ją legalni użytkownicy, którzy łączą swoje komputery z Internetem przy użyciu linii ADSL z adresami zewnętrznymi pobranymi z puli internetowych adresów IP. Z reguły, dostawcy usług internetowych przydzielają nowo podłączonemu modemowi ADSL adres IP z puli adresów IP, jakie mają do swojej dyspozycji. Wraz z każdym nowym połączeniem zmienia się adres IP. Jeżeli użytkownik nie posiada fizycznego dostępu do swojego komputera, a chce połączyć się zdalnie, musi znać adres IP, który w danym momencie zapewni mu dostęp do jego komputera. Dostawcy usług DDNS umożliwiają zarejestrowanie domeny (np. myhomepc.dyndns.org), a następnie połączenie się z komputerem poprzez podanie nazwy domeny. Niektórzy producenci modemów ADSL implementują obsługę DDNS do oprogramowania służącego do zarządzania modemem. Jeżeli modem jest poprawnie skonfigurowany, kontaktuje się z dostawcą usługi DDNS za każdym razem, gdy ustanawiane jest połączenie internetowe, informuje go o aktualnych adresach IP. Następnie program użytkownika, który kontaktuje się ze zdalnym komputerem przy pomocy nazwy hosta, wysyła zapytanie DNS dla adresu IP z nazwą myhomepc.dyndns.org. Zapytanie przechodzi przez łańcuch serwerów DNS i ostatecznie dociera do dostawcy DDNS, który zna aktualny adres IP komputera, ponieważ przechowuje najnowszą wiadomość z modemu ADSL.

Ten typ usługi pozwala cyberprzestępcom szybko i łatwo zarejestrować nowe domeny przy zachowaniu anonimowości oraz zmienić informacje DNS o ciągłym wykorzystywaniu serwera.

Ponadto, zainfekowane komputery z zewnętrznymi adresami IP mogą być wykorzystywane jako tymczasowe centra kontroli botnetów. Jeżeli komputer jest wyłączony, cyberprzestępca może ręcznie lub automatycznie przełączyć się na inny zainfekowany komputer, przy czym centrum kontroli zawsze jest dostępne za pośrednictwem domeny od dostawcy DDNS.

Z tego powodu usługi DDNS są tak popularne wśród cyberprzestępców. Kaspersky Lab szacuje, że około 50% domen wykorzystywanych przez szkodliwe programy należy do dostawców DDNS.

Wnioski dotyczące szkodliwych programów

Najpopularniejsze typy szkodliwych programów wykazują aktywność sieciową: programy trojańskie wysyłają przechwycone dane cyberprzestępcom, robaki sieciowe próbują znaleźć i zainfekować inne komputery w sieciach lokalnych, boty spamowe rozsyłają wiadomości spamowe, boty DDoS atakują serwery internetowe, boty łączą się z centrami C&C. Boty i robaki sieciowe są najbardziej aktywne, poza tym zachowanie to można skutecznie połączyć w jednej aplikacji. Program wykrywany jako robak lub trojan może mieć również funkcję bota, dzięki której zainfekowany komputer może stać się częścią botnetu. W rezultacie, za ruch sieciowy tworzony przez większość szkodliwych programów w Internecie odpowiedzialne są botnety.