Миновала ли опасность для Интернета?

26 июля 2005   

На первый взгляд, сообщения о сетях ботов (bot networks), распространенные в последнем отчете Symantec об Интернет-уязвимостях Symantec Internet Security Threat Report, должны в первую очередь привлечь внимание финансовых учреждений: за период с 1 июля по 31 декабря 2004 года количество активных сканирований, осуществляемых сетями ботов, сократилось с уровня 30 000 сканирований в день на конец июля до менее чем 5 000 сканирований в день к концу года. Но можно ли говорить о том, что опасность для Интернета, наконец, миновала?
Несмотря на то, что общее сокращение количество известных сетей ботов является хорошей новостью, не следует недооценивать этого опасного явления: по мнению компании Symantec, в будущем использование ботов и их сетей в корыстных целях, для получения выгоды, скорее всего будет увеличиваться, особенно по мере распространения разнообразных инструментов для получения или создания ботов и развития сетевых структур.
В настоящей статье рассматривается эволюция ботов и сетей ботов, а также способы их использования в корыстных целях.

Масштабы проблемы

Боты (сокр. от "роботы") – это программы, которые незаметно устанавливаются на компьютеры пользователей с целью получения неавторизованными пользователями удаленного доступа к этим компьютерам. Боты заметно отличаются от подобных им типов вредоносных программ, поскольку они обладают уникальной функциональностью, позволяющей организовывать сетевые структуры. Боты разрабатываются для того, чтобы позволить организатору атаки создать сеть из открытых, скомпрометированных хостов (сеть ботов), которая также может удаленно управляться с целью организации масштабных вредоносных действий или атак. После того, как создана сеть ботов, организатор атаки может отдавать команды пересылая пакеты по коммуникационным каналам, таким как IRC (Internat relay chat). Боты могут быть использованы в различных вредоносных целях, например для кражи информации или организации распределенных атак типа "Отказ в обслуживании" (DDoS).
Снижение количества наблюдаемых ботов и сетей ботов в 2004 году объясняется рядом факторов, главным из которых считается выпуск в августе минувшего года операционной системы Windows XP Service Pack 2, новый сервис-пак которой позволяет значительно сократить количество уязвимостей операционных систем Windows XP, используемых для организации удаленных атак. Однако в то же время, доля ботов в количестве вредоносных программ, учитываемых Symantec, постоянно увеличивается. За последние шесть месяцев 2004 года, на долю ботов приходилось 12% самых распространенных вредоносных программ по версии Symantec. Для сравнения, в первом полугодии 2004 года этот уровень составлял 10%, а в последнем полугодии 2003 года – 9% от общего числа вредоносных программ.
Более того, продолжает увеличиваться количество документированных модификаций самых известных и популярных ботов. За последние шесть месяцев 2004 года всего три бота — Randex, Gaobot, and Spybot – насчитывали в общей сложности более 6 000 новых модификаций. Уровень роста по сравнению с предыдущим полугодием составляет 189%, когда существовало всего 3 100 новых модификаций. Наконец, рост составляет 1 063% по сравнению с аналогичным периодом прошлого года, когда насчитывалось всего чуть более 550 новых модификаций.

Новые беспокоящие тенденции

За последние шесть месяцев 2004 года аналитики Symantec наблюдают новую беспокоящую тенденцию в развитии ботов. Большинство ботов используют в качестве каналов управления IRC сети. Обычно бот программируется таким образом, чтобы подключаться к заранее указанному IRC серверу и выходить в определенных канал. Как только бот оказывается в канале, он может удаленно получать команды от организатора атаки. Поскольку боты используют централизованные каналы коммуникации, их сети весьма зависимы от работы IRC сервера: стоит только выключить IRC сервер, как сеть ботов мгновенно нарушается, поскольку пропадает канал связи между ботом и организатором атаки.
Для того, чтобы предотвратить это, начали появляться боты, использующие новые методы коммуникации. В частности, Symantec обнаружила два новых бота – Moonlit и Zincite, которые использовали собственные пиринговые (peer-to-peer) сети для коммуникаций. Канал связи при этом был зашифрован, а для того, чтобы не обнаруживать свое присутствие, использовались случайные номера сетевых портов. И вместо того, чтобы подключаться к централизованному серверу для получения команд, эти боты поддерживали список IP адресов с другими зараженными компьютерами. Таким образом, удаление одного из хостов сети ни коим образом не сказывается на остальных. В результате становится чрезвычайно трудно остановить целиком всю сеть ботов.

Следите за деньгами

Как отмечено в самом последнем отчете об Интернет уязвимостях Symantec Internet Security Threat Report, боты зачастую используют ретрансляторы электронной почты (email relays) для того, чтобы распространять фишинговые сообщения (phishing message). По этой причине, а также в силу того, что подобной деятельностью заинтересовались организованные преступные группировки, Symantec ожидает увеличение количества владельцев ботов, которые будут создавать и "плодить" их с целью последующей продажи.
Конечно, вряд ли стоит напоминать финансовым учреждениям об опасности фишинга и возможных в этой связи кражах конфиденциальной информации. Тем не менее, в то время как большинство фишинговых атак направлены на крупные банки, по данным противофишинговой рабочей группы (Anti-Phishing Working Group, APWG), все большее количество атак приходится на маленькие финансовые компании. В своем самом последнем отчете, опубликованном в июне этого года, группа APWG сообщает о существенном увеличении количества фишинговых атак на кредитные союзы. "К числу возможных объектов атак относятся как региональные кредитные союзы, так и нишевые кредитные союзы, направленные на сотрудников определенной отрасли", — сообщает APWG. – "Хакеры видоизменяют и модифицируют методы организации атак, и уходят от атак на крупные и популярные организации".
Увеличивается количество использований сетей ботов в схемах вымогательства в режиме реального времени (online extortion schemes). При этом организаторы атаки связываются с сайтом, занимающимся электронной коммерцией, и требуют выплатить некую денежную сумму. При невыполнении требований, атакующие угрожают организовать против сайта атаку типа DDoS. Судя по всему, подобные схемы вымогательства процветают. Кроме того, поскольку увеличивается сложность внутренней организации ботов нового поколения, становится все труднее противостоять сетям, состоящим из этих ботов.

Рекомендации: многоуровневая защита

Для организаций из сферы финансовых услуг, продолжающаяся тенденция развития и эволюции ботов и их сетей настораживает. Любая причина, заставляющая заказчиков разувериться в надежности и безопасности ведения бизнеса по Интернету, может повлечь за собой серьезные финансовые потери для множества организаций. 
Symantec рекомендует финансовым учреждениям внедрять многоуровневую защиту, включая установку брандмауэров и обеспечение необходимой фильтрации трафика по периметру сети. Более того, администраторам рекомендуется подписаться на услугу оповещения о новых уязвимостях, чтобы быть осведомленным о возможных атаках хакеров до того, как они случаются, и вовремя устанавливать на корпоративных системах необходимые патчи. На операционных системах конечных пользователей должны быть установлены и постоянно функционировать антивирусное программное обеспечение и брандмауэр, а сами антивирусные базы должны регулярно обновляться.