Убить дракона... Часть 4 (охота на ботнет Ozdok он же Mega-d) Ozdok, он же Mega-d, — один из тех ботнетов, что успешно ускользали от ликвидации несколько последних лет. Недавняя статистика из отчета Marshal TRACE (Threat Research and Content Engineering) показывает, что на ботнет Ozdok в настоящее время приходится 4.2% всего мирового объема спама. Неизбежно возникает вопрос, кто те люди, что контролируют эту сеть и, что еще важнее, откуда они это делают? Недавно я провел детальное исследование действующих командных серверов Ozdok. Из этого исследования я сделал два основных вывода. 1. Хозяева ботнетов по прежнему предпочитают размещать свои командные серверы в США. 2. После истории с провайдером McColo, эти ребята уже не полагаются на единственный блок сети для размещения командных серверов. Для повышения живучести, большинство ботнетов теперь снабжены механизмом компенсации потерь. Собственно, в случае с Ozdok, такой механизм имеется не один. Они приводятся в действие в случае распада основной управляющей структуры. Каким образом? Я вкратце это объясню. Вот, как выглядит географическое расположение командных серверов Ozdok по данным последних месяцев:
Из этой таблицы четко видно, что серверы широко разбросаны по территории США. Только два командных сервера расположены вне США. Означает ли это, что отключение этих серверов приведет к полному распаду ботнета? Учитывая многоуровневый механизм компенсации потерь сети Ozdok, приходится ответить: «нет». Вот, как работает структура управления Ozdok. 1. Большинство вариантов бота Ozdok для нахождения своих командных серверов использует доменные имена. В тех образцах, что попадали до сих пор мне в руки, полный список доменных имен содержался непосредственно в теле вредоносной программы. Если один домен отказал, программа переходит к следующему. ... Снова плохие новости: Если эти домены заблокировать при содействии регистраторов имен, в игру вступят собственные серверы имен ботнета и обеспечат ботам доступ к новым командным серверам. 3. Если заблокировать все домены из списка и отключить все собственные серверы имен ботнета, Ozok пустит в ход еще один трюк. Новые экземпляры бота снабжены алгоритмом генерации доменных имен. Если все остальные механизмы нейтрализации повреждений отказали, Ozdok будет генерировать по одному случайному доменному имени в день. Такое имя генерируется на основе текущей даты и времени. Совсем плохие новости: Если только кто-то не возьмет на себя труд заранее зарегистрировать все эти домены, хозяева ботнета смогут при нужде зарегистрировать их на себя и вернуть себе управление ботнетом.
Рисунок 1 ... Новости – хуже не бывает: В случае если откажут все механизмы нейтрализации, всегда остается шанс, что хозяева ботнета бросят в бой резервные войска (вредоносные программы верхнего уровня) и загрузят на инфицированные машины обновленную версию бота, оснащенную совершенно другим пространством адресов. Вот полный список постоянных доменных имен (всего 45) с соответствующими им на данный момент IP. Примечание 'Нет' означает, в данное время домен не указывает ни на какой IP-адрес. yokserezantia.net <->
72.232.161.250 ... Учитывая все эти защитные механизмы, полное уничтожение Ozdok за один прием представляется нелегкой задачей, однако серьезно повредить этого зверя, может быть, не так уж и трудно. Внезапное отключение текущего командного сервера приведет к тому, что хозяева ботнета потеряют ценные данные, а их контроль над структурой ботнета ослабнет. Кроме того, такое внезапное отключение даст инфицированным машинам время на то чтобы очиститься от ботов. Наконец, это будет красноречивым жестом, намекающим плохим парням, что структуры безопасности начеку и наблюдают за их деятельностью. Обновление 1: Только что мы получили ответ от администрации регистратора имен 'Go daddy', в нем говорится, что адрес 64.202.189.170 является сервером пересылки, и не находится под прямым контролем хозяев ботнета. Но почему тогда домен kuport.com, принадлежащий ботнету, все еще указывает на этот адрес? В данный момент у меня нет объяснения этому факту. Атиф Маштак (Atif Mushtaq) из FireEye Malware Intelligence Lab
|