|
Автор: Евгений Золотов
Источник:
http://www.computerra.ru/ Интернет давно вышел из младенческого возраста с присущей ему простотой. Глобальная сеть сегодня
- невообразимо сложная, многоярусная структура, в которой взгляду рядового путешественника доступна лишь незначительная часть. Нырять глубже, в тёмные глубины виртуальных вод, решаются немногие - одной
смелости для этого мало, нужно особое оснащение. Но диковинки, которые приносят с собой исследователи, стоят и труда, и риска. На днях немецкие специалисты по информационной безопасности опубликовали отчёт
об одной такой экспедиции, длившейся несколько месяцев: осенью прошлого года группа специалистов начала изучение яруса ботнетов и сейчас делится своими находками. Ботнеты (от англ. botnets)
- онлайновый андеграунд, преисподняя Веба - множество субсетей, протянутых по каналам интернета автономными клиентами, в роли которых выступают вирусные и шпионские программы (боты). Паразитирующие на обычных
персоналках и серверах, боты в значительной степени самостоятельны (репликация, поддержание связи с другими узлами, выполнение различных задач на заражённых машинах - всё это они делают сами), но в конечном
счёте всегда подчинены своим хозяевам. Последние управляют ботнетами удалённо, обычно через публичные IRC-каналы. Антивирусным компаниям и специалистам по защите систем и сетей сегодня известно несколько
десятков популярных разновидностей ботов, анализ их позволяет судить и о задачах, выполняемых сетями таких программ (проведение DdoS-атак, рассылка спама, кража данных). Считается, что компьютеры, входящие
в состав бот-сетей, составляют значи! тельную часть сети глобальной, но какова в точности их массовая доля, сказать, по понятным причинам, трудно: создатели ботнетов не афишируют свою работу, а доступ к
этим сетям требует знания закрытой информации. Пролить свет на киберкриминальный феномен удалось немецким исследователям, участвующим в интернациональном проекте Honeynet
Project. Для изучения ботнетов они применили оригинальную технику, позволившую взглянуть на проблему изнутри: сеть-приманку (honeynet), составленную из нескольких машин под управлением Microsoft Windows,
замаскированных под обычные домашние персоналки, но на самом деле оснащённых особым программным обеспечением для мониторинга. Подключение "подставных" машин к Сети уже через несколько минут приводило к
их заражению какой-либо заразой, которая часто подключала инфицированную PC к одной из развёрнутых в интернете ботнетов. Анализируя исходящий трафик и исследуя по выловленным из него ссылкам различные веб-ресурсы,
авторы работы получили уникальные результаты. Подробности можно найти в увлекательном отчёте, опубликованном на сайте honeynet.org ("Know
Your Enemy: Tracking Botnets"), здесь же хотелось бы остановиться на самых интересных общих моментах. Прежде всего впечатляет размах: всего за три месяца исследователям удалось обнаружить более сотни
ботнетов, в каждой из которых присутствовало от нескольких сотен до десятков тысяч машин. Экстраполяция на глобальную сеть позволяет авторам исследования утверждать: по самой скромной оценке в Сети работает
более одного миллиона машин, заражённых той или иной разновидностью бот-заразы. Преимущественно это домашние персоналки с постоянным интернет-подключением и операционной системой Microsoft Windows (XP SP1,
Windows 2000 и более ранних версий). Самым популярным инструментом, используемым ботами для координации своих действий, а их хозяевами - для управления ботнетами в целом, действительно являются сети IRC.
Подтвердился и ряд других предположений, прежде всего касающихся задач, решаемых с помощью таких сетей. Ботнеты активно применяются для организации DDoS-атак. Трафик, порождаемый даже одной сетью из нескольких
сотен PC, превышает способности средней корпоративной локалки! , а крупные ботнеты способны "завалить" и самые мощные из существующих распределённых сетевых структур: временный выход из строя летом прошлого
года сети кэширующих серверов Akamai Technologies предположительно был вызван ботнет-атакой. Используются ботнеты и для рассылки спама, и как стартовые площадки для вирусных эпидемий: многие боты умеют
распространяться самостоятельно, эксплуатируя широко известные уязвимости в ОС семейства Windows. Наконец, было практически подтверждено и существование бот-сетей, ведущих "шпионскую" деятельность: прослушивающих
трафик инфицированных машин, "подслушивающих" клавиатурный ввод их пользователей. Но нашлись и ботнеты, занятые другими задачами. Исследователи из Honeynet описывают подсмотренную ими сеть ботов, занятую
кражей виртуальных товаров у пользователей игры Diablo 2 и автоматической перепродажей их с аукциона на сайте eBay. Машины в другой бот-сети "накручивали" денежный счёт её хозяев в рекламной системе Google
AdSense. В ходе наблюдений был зафиксирован случай применения ботнета в разборках между конкурирующими компаниями, попытки использования таких сетей для манипуляции результатами онлайновых опросов, применение
их для динамического хостинга поддельных сайтов, копирующих сайты финансовых учреждений. Удивляет и удручает одновременно то, что типичным организатором ботнетов, по усреднённому описанию, составленному
исследователями, является подросток с весьма скудным программистским опытом. Увы, компьютер стал предметом быта, квалификация среднего пользователя стремится к нулю, а с ней и квалификация киберзлоумышленников.
Впрочем, авторы "Know Your Enemy" расслабляться не советуют, предупреждая, что даже в неумелых руках, ботнет - очень опасное оружие. А среди организаторов этих сетей попадаются и высококлассные специалисты,
скорее всего работающие на организованную преступность. Потенциал бот-сетей высок, поэтому спектр и сложность атак с их применением будут расти, а с ними и сложность бот-алгоритмов. И недалёк тот день,
когда с простецких IRC-каналов боты перейдут на сложные децентрализованные P2P-механизмы, затруднив своё обнаружение, поднявшись на новую ступеньку эффективности. Всё это настоятельно требует активизировать
работы по изучению ботнетов. Криминальное соо! бщество Веба не спит - нельзя спать и тем, кто ему противостоит.Ботнеты (от англ. botnets) - онлайновый андеграунд, преисподняя Веба - множество субсетей,
протянутых по каналам интернета автономными клиентами, в роли которых выступают вирусные и шпионские программы (боты). Обсудить в форуме...>>>>
| |
