Рейтинговые книги

Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов

Уважаемые читатели!
Тут можно читать бесплатно Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов. Жанр: Прочая околокомпьтерная литература. Так же Вы можете читать полную версию (весь текст) онлайн книги без регистрации и SMS на сайте club-books.ru (книга онлайн) или прочесть краткое содержание, описание, предисловие (аннотацию) от автора и ознакомиться с отзывами (комментариями) о произведении.
0/0
Описание онлайн-книги Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов:
ОглавлениеСтатьиРождение и смерть ботнета Rustock Автор: Юрий ИльинТерралабДевять современных внешних дисков Автор: Олег НечайКак выбрать внешний жёсткий диск Автор: Олег НечайNAS для дома: сетевые хранилища данных Автор: Олег НечайПять современных сетевых хранилищ данных NAS Автор: Олег НечайКолумнистыАнатолий Вассерман: Из Солнца в бензобак Автор: Анатолий ВассерманКафедра Ваннаха: Одиннадцатые Автор: Ваннах МихаилВасилий Щепетнёв: Бег белки в колесе времени Автор: Василий ЩепетневОтстающий стремительный Автор: Олег НечайКивино гнездо: Все яйца в одной корзине Автор: Киви БердВасилий Щепетнёв: Культура белок Автор: Василий ЩепетневКафедра Ваннаха: Два стола Автор: Ваннах МихаилДмитрий Шабанов: Учебники. Прямиком в послезавтра Автор: Дмитрий ШабановВасилий Щепетнёв: Дюжина старушек Автор: Василий ЩепетневГолубятня-ОнлайнГолубятня: Как бьются на байках Автор: Сергей ГолубицкийГолубятня: Приехал домой, а тут Сноб Автор: Сергей Голубицкий
Читем онлайн Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов

Шрифт:

-
+

Интервал:

-
+

Закладка:

Сделать
1 2 3 4 5 6 7 8 9 10 ... 16

Компьютерра

04.04.2011 - 10.04.2011

Статьи

Рождение и смерть ботнета Rustock

Юрий Ильин

Опубликовано 07 апреля 2011 года

Причина тишины — не совестливость спамеров. 16 марта 2011 года корпорация Microsoft совместно с правоохранительными органами нескольких стран провела масштабнейшую операцию и заблокировала многочисленные контрольные серверы ботнета. Поскольку операция осуществлялась скоординированно, получилось, что ботнету снесли все головы разом. Это не был поход одиноких Геракла и Иолая против Лернейской Гидры, скорее — набег целого отряда лесорубов с бензопилами.

Rustock уходит в режим радиомолчания не впервые. Его уже пытались искоренить в 2008 году, потом он по каким-то причинам притих на рубеже 2010-2011 годов. Оба раза тишина продолжалась недолго. Замолк ли он навсегда в этот раз? Пока непонятно. Факт, однако, в том, что с ним расправились на совесть. Даже если его владельцам однажды удастся поднять ботнет на ноги, это будет не так уж просто.

Возможно, стоит подвести некоторые итоги. Rustock и сам по себе — явление интересное.

Начало

Название Rustock придумали сотрудники антивирусной фирмы Symantec. Так окрестили пойманную 13 января 2008 года вредоносную программу. Впрочем, автору (или авторам?) Rustock имя пришлось по вкусу — вот какая строка обнаружилась в одной из следующих версий программы.

Фрагмент с «визитной карточкой» раньше выглядел иначе: папки «Rustock» не было, только «Spambot».

С тех пор прошёл не один год, но об авторах и владельцах Rustock по-прежнему нет достоверных сведений. По косвенным признакам выходит, что их родным языком был русский. Об этом можно судить, например, по упоминанию mail.ru и yandex.ru в коде или по говорящему названию бета-версии Rustock.b — huy32.sys. Кроме того, основателем злополучного хостинга McColo, на котором располагался первый контрольный центр Rustock, был «русский хакер» по имени Николай (только это о нём и известно).

В «Лаборатории Касперского» практически уверены, что Rustock — российское произведение. По словам ведущего антивирусного эксперта компании Сергея Голованова, спам-бизнес — практически полностью русский, к тому же именно так, как был написан Rustock, руткиты пишут только выходцы из СНГ.

Руткит — это основа Rustock. Троянец устанавливает его на компьютер жертвы первым делом. Руткит позволяет использовать заражённую машину в качестве скрытого прокси-сервера, который действует на случайно выбранном TCP-порту. Кроме того, программа предпринимает попытки связаться с серверами ftp.skystockfinance.cc, https.enjoyfit2006.biz и www2.firemonk2006.com для подгрузки дополнительных файлов и конфигурационной информации. Мало того, через TCP-порт 25 она могла обращаться к SMTP-хостам mxs.mail.ru, smtp.yandex.ru и maila.microsoft.com.

В июле 2008 года с разницей в несколько дней Symantec отрапортовал о ещё двух разновидностях троянца — Rustock.A и Rustock.B, причём по поводу второй было заявлено, что она использует усовершенствованный руткит для установки себя в систему и сокрытия своего присутствия. Обе версии были способны рассылать спам с заражённого компьютера.

А потом появились слухи о Rustock.c.

Неуловимый Джо

Его очень долго не могли обнаружить. Настолько долго, что всё чаще звучали голоса: а не миф ли это, ваш Rustock.c? Может, его просто не существуют, а антивирусы гоняются за химерой?

"Химера", к сожалению, оказалась самой что ни на есть реальной, всамделишной пакостью. Первой новую версию вредоносной программы обнаружила российская антивирусная компания «Доктор Веб». Тут и выяснилось, что создатели Rustock прекрасно понимали, что они делают и какие средства будут применяться против их детища. Все версии спамбота были сходны между собой по функциональности, но у Rustock.c оказался самый хитрый механизм для игры в прятки.

Во-первых, этот троянец заражает драйверы и сам реализован в виде драйвера уровня ядра. Во-вторых, он использует полиморфизм и обфускацию кода, чтобы затруднить анализ. Вдобавок, Rustock.c самым активным образом противодействует отладке, в том числе нарушает или блокирует работу отладчиков, а также имеет функцию самозащиты, противодействующую модификации кода во время исполнения.

Ещё один метод маскировки: Rustock.c то и дело «меняет партнёров». Сначала он заражает один драйвер, затем другой, а первый вылечивает. Мало того, он фильтрует обращения к заражённому файлу и подставляет оригинальный файл вместо заражённого. Наконец, как отмечают в «Доктор Веб», троян перехватывает системные функции «неклассическим методом». Каждая копия руткита привязывается к заражённому компьютеру на аппаратном уровне, так что на других машинах та же копия работать, скорее всего, не будет.

Когда стало очевидно, что Rustock.c не является ни мифом, ни фикцией, за ним началась активная охота. По версии «Лаборатории», распространением Rustock.c, скорее всего, занималась киберпреступная группировка IFrameBiz, у которой есть собственный ботнет, состоящий из компьютеров, уже заражённых троянцами Tibs, Harnig, Femad, LoadAdv и другими. Большая часть участников IFrameBiz, скорее всего, проживает в России.

"Именно к IFrameBiz и обратились летом 2007 года авторы руткита Rustock с заказом на его распространение, — сообщала «Лаборатория Касперского» в своё время. — Однако либо троянцы IframeBiz были не способны незаметно активировать Rustock в системах, либо авторы руткита не хотели давать в руки исполнителей заказа сам код руткита, опасаясь кражи идей и технологий. Для «заливки» по каналам IFrameBiz был создан совершенно отдельный модуль". Новый загрузчик «Антивирус Касперского» детектирует как Trojan-Downloader.Win32.Agent.ddl.

С тех пор, как пояснил «Компьютерре» Сергей Голованов, никаких значительных изменений в коде Rustock.c не замечено — доработана схема работы с сервером управления и исправлены некоторые ошибки в драйвере, вот и всё. Типичный узел ботнета Rustock — это «обычный, непропатченный, старый компьютер домохозяйки из США», работающий под Windows XP (это единственная операционная система, которую он заражает).

Интересно, что Rustock.c паразитирует на других ботнетах. «Rustock грузится уже на заражённые другими вредоносными программами компьютеры. Чаще всего он устанавливался на ботнет Harnig, — говорит Голованов. — Установка представляет собой копирование драйвера в системную директорию и прописывание его в реестре под видом системного драйвера».

Ботнет

Пока вредоносную программу безуспешно искали, он плодился и множился. Попутно рос ботнет, ради которого всё и затевалось. Rustock.a и Rustock.b тоже внесли свой вклад, но Rustock.c отличился пуще всех. Авторы трояна не столько пытались сделать принципиально необнаружимую вредоносную программу, сколько затруднить его обнаружение как можно сильнее. И преуспели.

Вскоре Rustock превратился в крупный и гиперактивный ботнет, рассылающий спам буквально тоннами: он мог раскидывать до 25 тысяч мусорных писем в час с каждой заражённой машины. Впрочем, как правило, его производительность была куда ниже. По некоторым данным, на пике своей жизнедеятельности он отправлял порядка 192 писем в минуту с каждого заражённого компьютера.

Оценки величины Rustock разнятся. В «Лаборатории Касперского» считают, что Rustock никогда не превращался в крупный ботнет. «Число в несколько сотен тысяч заражённых компьютеров волне устраивало его владельцев», — говорит Сергей Голованов. По сведениям компании MessageLabs, однако, в 2010 году Rustock был лидером по объёмам спама; однако где-то среди лета он начал «усыхать» в размерах и уменьшился с 2,4 млн заражённых компьютеров до 1,3 млн.

Интересная деталь: весной 2010 года Rustock начал рассылать спам с TLS-шифрованием. Причём в огромных количествах — до 70 процентов его рассылок были под TLS, и, поскольку это был самый активный ботнет на тот период, до 35 процентов спамерских сообщений во всей мировой паутине оказались зашифрованными. Зачем? «Возможно, владельцы Rustock ошибочно полагают, что TLS добавит легитимности их почтовому трафику, но, возможно, они просто опасаются, что за их спамом кто-то следит», — предположили тогда в Symantec.

Как выяснилось, и вправду следили...

Первый удар

Попытки что-то сделать с этим ботнетом предпринимались довольно долго. 11 ноября 2008 года был закрыт располагавшийся в Сан-Хосе хостинг-провайдер McColo. За этим немедленно последовало резкое падение мировых объёмов спама.

Дело в том, что McColo предоставлял услуги так называемого «пуленепробиваемого хостинга»: компания не задавала своим клиентам ненужных вопросов и не реагировала на жалобы. На McColo собралась живописнейшая компания: спамеры, распространители детской порнографии, фишеры и прочих «мерзавцев сотни три». Среди клиентов McColo всплыла даже Russian Business Network — полумифическая питерская фирма, которая также занималась криминальным бизнесом в киберпространстве, включая «пуленепробиваемый хостинг» со всяким «интересным» контентом. И, самое главное, на серверах McColo располагались контрольные центры ботнетов Mega-D, Srizbi, Pushdo, Warezov и нашего дорогого Rustock.

1 2 3 4 5 6 7 8 9 10 ... 16
На этой странице вы можете бесплатно читать книгу Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов бесплатно.
Похожие на Цифровой журнал «Компьютерра» № 63 - Коллектив Авторов книги

Оставить комментарий