Создатели ботнетов, чтобы избежать обнаружения, обращаются к Google и социальным сетям

Создатели ботнетов, чтобы избежать обнаружения, обращаются к Google и социальным сетям

Роберт Уестервельт (Robert Westervelt), редактор новостей

Twitter, Facebook и другие социальные сети, так же, как и службы Google, становятся предметом внимания кибер-преступников не только с точки зрения кражи пользовательских данных, но и в качестве хранилища и канала передачи данных, используемых для управления ботнетами.

Подобные случаи за последние несколько месяцев были обнаружены в большом количестве различными компаниями, специализирующимися на IT-безопасности. Кибер-преступники, стоящие за многими ботнетами, используют для дистанционного управления зараженными машинами единственный коммуникационный канал, такой, как интернет-чат (IRC), и специальный командный сервер, рассылающий инструкции и собирающий украденные данные. Другой метод управления ботнетом состоит в использовании однорангового ("peer-to-peer") протокола. Такой метод все еще используется в ботнете, созданном печально известным червем Conficker.

Но, как говорят эксперты, теперь исследователи проблем безопасности легко обнаруживают, прослеживают и фильтруют трафик ботнетов. Число ботнетов, использующих IRC, неуклонно снижается. По словам Хосе Назарио (Jose Nazario), эксперта по ботнетам и старшего инженера по вопросам безопасности в компании Arbor Networks (Лексингтон, шт. Массачусетс), две трети IRC-ботнетов останавливаются в течение 24 часов. По-видимому, создатели ботов теперь ищут способы использовать пропускные способности каналов и бесплатное пространство для хранения данных в службах, основанных на принципе «облака вычислений» для того чтобы затруднить выявление и блокирование вредоносного трафика.

"Перемещение в «облако» дает им анонимность и устойчивость", – сказал Назарио. "Никаким образом Google не может дать нам доступ к исходному коду этих приложений, поскольку тут есть юридические препятствия, с которыми эти ребята должны считаться".

Исследователи проблем безопасности из Arbor Networks обнаружили последний подобный пример – приложение в службе Google AppEngine, которое кибер-преступники использовали передачи команд на зараженные машины, благодаря чему они и составляли собой ботнет.

Это приложение выполняло функции коммутатора, передающего нужные URL на зараженные машины, и направляющего их на Web-страницу, откуда они загружали дополнительные инструкции и вредоносные программы. По словам Назарио, ссылки вели к сайту, расположенному на серверах небольшой фирмы-провайдера в США. Об этом AppEngine-приложении сообщили в Google, и приложение было удалено. Провайдер, невольно оказавшийся носителем элементов ботнета, также удалил их.

Запущенная в апреле 2008 года, служба Google AppEngine основывается на технологии «облака вычислений» и позволяет разработчикам приложений создавать и запускать Web-приложения на базе распределенной инфраструктуры Google. Служба предоставляет пользователю 500 Мб дискового пространства и канал для 5 миллионов просмотров страницы в месяц. В случае превышения этих лимитов Google предлагает свои услуги уже на платной основе.

Сайтам, размещающим у себя контент, в том числе Google, Facebook, Twitter и другим, необходимо более тщательно контролировать то, что пользователи к ним загружают, отслеживать исполняемые файлы и ссылки, которые ведут к серверам с вредоносным программным обеспечением, – сказал Назарио. На предприятиях также требуется контроль. Сетевым администраторам необходимо отслеживать поток ссылок, чтобы обнаружить трафик ботнета, исходящий от машин их компании. Эта проблема, которая продолжает усугубляться, поскольку создатели ботнетов совершенствуют свои методы, – сказал он.

Исследователи из Symantec обнаружили на прошлой неделе троян Whitewell, который использовал для связи со своим командным сервером социальную сеть Facebook. Прежде чем обратиться к Web-серверу для загрузки вредоносных программ, этот троян подключается к мобильной версии Facebook и получает там конфигурационные данные.

В 2008 году компания Symantec зафиксировала 15197 новых командных серверов для управления ботами, причем 43% из них использовали для связи IRC, а 57% работали по протоколу HTTP, – сказал Винсент Уифер (Vincent Weafer), вице-президент Symantec Security Response. Уифер сказал, что коммуникации по протоколу HTTP могут использоваться для маскировки трафика ботнетов, из-за чего становится трудно отличить вредоносный трафик от обычного. Большинство передаваемых ботами сообщений по HTTP, либо зашифрованы, либо используют технологию Fast Flux (технологию непрерывной переброски Web-сервера с машины на машину) чтобы избежать обнаружения.

"Для того чтобы фильтровать трафик, организациям придется проверять шифрованные передачи по HTTP, идентифицировать и удалять трафик ботов, пропуская при этом трафик обычный. По этой причине очень трудно точно определить и обезвредить структуру управления ботнетом.", – сказал Уифер. "К тому же неразумно было бы просто блокировать HTTP-трафик, поскольку обычный HTTP-трафик необходим организациям для их повседневной деятельности".

Службы Google использовались в качестве инструмента целым рядом вредоносных программ. Так, в сентябре, исследователи из Symantec Security Response обнаружили поток управляющих данных, идущий через Google Groups, онлайновые дискуссионные форумы Google. Троян был запрограммирован так, чтобы вначале зарегистрироваться в Google Groups, затем он направлялся на Web-страницу с шифрованными командами. В Symantec говорят, что после этого троян отсылал украденные данные в группу Google Groups.

Для того чтобы избежать обнаружения, ботнеты также уменьшаются в размерах. В результате, на черном рынке маленькая сеть зараженных машин становится все более ценным товаром. По словам Уифера, маленькие ботнеты отличаются большей гибкостью в использовании.

"Десять ботнетов по 10,000 машин создают гораздо более гибкую и устойчивую структуру, чем один ботнет в 100,000 машин, который можно вывести из строя отключением единственного командного сервера", – сказал Уифер.

Компания Symantec также обнаружила «троянский» загрузчик файлов из сети, использующий популярную службу микро-блогов Twitter для передачи команд и управляющих данных. Троян Sninfs должен следить за определенной учетной записью в Twitter, куда кибер-преступники поместили зашифрованную строку, содержащую два URL, которые указывают на Debian.net и Rifers.org. Кибер-преступники использовали службу «pastebin» на этих двух вполне легальных сайтах. Служба «pastebin» представляет собой Web-приложение, позволяющее размещать исходный код и ссылаться на него. Код, загруженный создателем ботнета, инструктировал трояна установить на компьютере жертвы вредоносную программу для кражи регистрационных данных.

Гюнтер Олман (Gunter Ollmann), вице-президент по исследованиям в компании Damballa, которая расположена в Атланте и специализируется на обнаружении ботнетов, назвал последние техники «демонстрационным примером». Учетные записи в социальных сетях вне подозрений у большинства фирм, специализирующихся на безопасности, и совсем нетрудно поставить эксперимент с такой учетной записью. По мнению Олмана, для создателей ботнетов этот путь, возможно, не слишком пригоден, поскольку конкуренты, обладающие способностью взламывать учетные записи Facebook, Google или Twitter, могут просто захватить созданную ими сеть.

"Создатели ботнетов экспериментируют с различными техниками, оценивая вероятность обнаружения сети и промежуток времени до того как командный сервер будет выслежен и отключен", – сказал он. "Вряд ли профессиональные кибер-преступники и создатели ботнетов серьезно полагаются на такие техники, поскольку в них уязвимой оказывается критическая точка отказа – командный сервер".