Checking In With The Ozdok Sinkhole

Ботнет Ozdok в ловушке, подробности

Если вы прочли пару наших последних блогов, то знаете, что лаборатория FireEye недавно захватила контроль над ботнетом Ozdok/Mega-D. Как сокрушить ботнет Mega-d/Ozdok за 24 часа. Мы зафиксировали домены нескольких командных серверов этой сети ботов и связались с соответствующими регистраторами и провайдерами для того чтобы заблокировать эти серверы. Мы перенаправили боты сети Ozdok на свой сервер-ловушку и наблюдали поступающие к нам соединения. После 5 дней наблюдения мы зафиксировали входящие соединения с 487430 уникальных адресов IP. Трудно оценить истинный размер сети ботов по этому показателю, но мы, по крайней мере, получили представление о географии распределения инфицированных машин.

Первое место заняла Бразилия с ее 11.5% в общем объеме инфицированных систем, а вслед за ней вплотную следовали Индия и Вьетнам. Китай занял 16 место, лишь немногим опередив США (в обоих случаях речь шла о примерно 1.6% от общего числа инфицированных машин). Всего мы насчитали 214 стран, но все позиции после первых трех мест отличались совсем незначительной долей в общем объеме.

Так все же, насколько велика эта сеть? Благодаря механизмам динамической адресации, одна инфицированная система может в разное время фигурировать под несколькими реальными и декларируемыми IP-адресами. Когда исследователи из UCSB захватили сеть ботов Torpig, они, при соединении ботов со своей ловушкой, могли различать уникальные идентификаторы соединяющихся с ними ботов.

Твой ботнет – мой ботнет: захват контроля над сетью ботов

За 10 дней наблюдения они насчитали 1247642 уникальных IP-адресов и лишь 182800 уникальных ботов. На соотношение первого со вторым может влиять множество факторов, и они не делали выводов относительно применимости своего наблюдения к другим ботнетам. Боты сети Torpig обращались к серверу-ловушке каждые 20 минут, и, как заметили исследователи, в течение каждого часа количество уникальных IP довольно точно соответствовало количеству обратившихся к серверу уникальных ботов. То есть каждая конкретная зараженная система сохраняла в течение часа один и тот же IP при обращениях к серверу. Мы обнаружили, что боты сети Ozdok обращаются к командному серверу каждые 5 минут, таким образом, наблюдение за трафиком в течение часа дает, по крайней мере, представление о включенных в данное время инфицированных системах. Вот график, отображающий типичный день в жизни ботнета Ozdok.

Пик активности пришелся на 4 утра по стандартному тихоокеанскому времени (US Pacific), когда активность проявляли 48785 ботов Ozdok. Для того чтобы получить еще один ориентир для оценки размера этого ботнета, я раскопал данные о ботнете Srizbi, который был захвачен и уничтожен лабораторией FireEye год назад. Тогда у нас была возможность распознавать уникальные идентификаторы соединяющихся с нашей ловушкой ботов.

Srizbi_uniques

На графике изображен рост общего числа IP-адресов сети Srizbi (синяя линия) и общее число уникальных идентификаторов ботов (красная линия), которые мы зафиксировали за 8 дней наблюдения.

Srizbi_ratio

А здесь показано соотношение между IP-адресами и уникальными идентификаторами ботов. Как и ожидалось, вначале за каждым IP стоял уникальный бот, но после 8 дней наблюдения только 44% соединяющихся с нами IP-адресов соответствовали уникальным ботам. После 5 дней (а именно столько мы наблюдаем данные Ozdok), уникальным ботам соответствовал 51% IP-адресов. Если применить это соотношение к сети Ozdok, то можно заключить, что число уникальных ботов равно 51% от 487430, то есть 248590. Таков ли действительно размер ботнета Ozdok? Любые оценки размеров ботнета весьма относительны, в силу неточности и противоречивости исходных данных. Кроме того, когда мы перехватывали данные Srizbi, а провайдер (компания McColo) блокировал командные серверы, события в сети развивались довольно хаотически – хозяева ботнета отчаянно пытались сохранить контроль над своей сетью.

К данному времени мы удерживаем контроль над ботнетом уже более недели и продолжаем изучать свои логи. Также мы собираемся принять предложение наших друзей из Shadowserver, которые возьмут на себя управление серверами-ловушками. У них уже создана необходимая инфраструктура, установлены отношения с командами быстрого реагирования CERT, провайдерами, и так далее, что дает им больше возможностей по информированию организаций, чьи машины заражены. Мы с интересом ждем момента, когда они примутся за работу.

Тодд Розенбери (Todd Rosenberry) из FireEye Malware Intelligence Lab