- 1. Захищена віртуальна приватна мережа (VPN)
- 2. Надійний хостинг
- 3. Надійний домен і Fast Flux
- 4. Платформа і центр управління (C & C)
- 5. Набори веб-Інжект
- 6. Зв'язки експлойтів і онлайн-сервіси
- 7. криптор і Дроппер
- 8. Спам і послуги із соціального інжинірингу
- Дешево і сердито
Ботнети (від англ. "Robot" і "network", тобто «мережі роботів») - один з головних і найпопулярніших інструментів сучасної кіберзлочинності. Комп'ютерні мережі, які складаються з десятків, сотень тисяч і навіть мільйонів машин-хостів, заражених програмами-ботами, автоматично виконують ті чи інші дії в інтересах власника або керуючого такою мережею.
При цьому завдання, які здатний вирішувати ботнет, можуть бути самими різними: від класичних і цілком нешкідливих збору адрес електронної пошти та подальшого розсилання спаму до розкрадання інформації до банківських рахунків і комерційного шпигунства. У Росії останнім часом ботнети найчастіше використовуються для DDoS-атак на найбільші інтернет-ресурси, перш за все опозиційної спрямованості, а також на засмічення соціальних мереж пропагандистськими постинг фіктивних користувачів.
Написання програмного забезпечення для функціонування ботнетів, їх експлуатація, підтримка і надання в оренду - найбільший бізнес, який існує і активно розвивається вже понад 15 років. Видиму його частину складають напівлегальні компанії, що продають софт, що забезпечують захищений анонімних хостинг і різні криптографічні послуги. Як правило, вони зареєстровані і діють в рамках юрисдикцій, які гарантують захист від переслідувань правоохоронних органів іноземних держав і нерозголошення даних про клієнтів таких фірм.
Практично у всіх країнах ведеться активна боротьба з шкідливими ботнетами, і практично скрізь спецслужби користуються цими ж самими технологіями у власних цілях - не особливо афішуючи це, але і не дуже приховуючи. Таке співіснування об'єктивно вигідно обом сторонам, саме тому ми дуже рідко чуємо повідомлення про ліквідацію великих ботнетів, сам факт існування яких забезпечує необхідний баланс інтересів. Такі мережі здатні успішно функціонувати тривалий час, ніяк не виявляючи себе.
За оцінками фахівців, середній термін життя ботнетів, що обслуговуються висококваліфікованими фахівцями, може становити від семи місяців до трьох років. згідно даними Trustwave за лютий 2013 року, в середньому до виявлення мережевої атаки проходить більше 210 днів, причому вторгнення вдається помітити не завдяки якомусь антивірусного ПЗ, а виключно завдяки скаргам клієнтів і питань, що виникають у банківських установ і правоохоронних органів. При цьому в п'яти відсотках випадків мережева атака була виявлена через більше трьох років (!) Після її початку.
Зрозуміло, що таких результатів домагаються тільки відмінно організовані групи, на які працюють професіонали найвищої кваліфікації. Послуги таких ботнетів доступні лише великому бізнесу і спецслужбам, причому не тільки з-за вартості в десятки мільйонів доларів, але і силу глибокої законспірірованность. Тим часом у світі працює величезна кількість цілком ефективних мереж набагато меншого масштабу, орієнтованих на короткострокові атаки. Організація таких мереж по кишені навіть студенту, і цілком можливо, що ваш сайт за абсолютно смішну суму «поклав» на тиждень ваш конкурент по бізнесу.
Витрати на організацію «бюджетного» ботнету на сьогоднішній день складають всього близько 600 доларів. При цьому власник такої мережі зовсім не зобов'язаний розбиратися в програмуванні та мережевих протоколах - за ці гроші він може отримати не тільки свіжий код, захищений хостинг і криптографічні послуги, а й цілодобову технічну підтримку, регулярні оновлення і будь-який інший сервіс, рівню якого позаздрять інші міжнародні корпорації.
З чого ж складається ціна «бюджетного» ботнету, і як знайти людей, що надають такі послуги? Ви будете сміятися, але досить набрати в пошуковому рядку браузера слово «ботнет», як ви отримаєте величезну кількість посилань на форуми, в яких вам запропонують все, що ви тільки побажаєте. Спеціально обмовимося, що ця стаття - зовсім не інструкція по пограбуванню банку та іншої протиправної діяльності, а лише загальний опис доступних на ринку пропозицій. Тому тут не буде ніяких прямих гіперпосилань - цікаві без проблем знайдуть все згадані нами продукти і послуги самостійно і не стануть забувати про статті 272 і 273 Кримінального кодексу РФ.
1. Захищена віртуальна приватна мережа (VPN)
Перш ніж починати будівництво ботнету, вам потрібно якомога ретельніше сховатися від уважних очей - антивірусних компаній, фахівців з безпеки, конкурентів і, звичайно, правоохоронних органів. Для цього вам потрібен провайдер віртуальної приватної мережі (VPN), який не буде цікавитися вашим справжнім іменем, який не стане нікому розкривати ваші логи з юридичних або технічних причин і який приймає оплату через анонімні платіжні системи.
Уважніше читайте призначені для користувача угоди і правила вподобаного провайдера. Член хакерської групи LulzSec Коди Кретсінгер був заарештований тільки тому, що VPN-провайдер HideMyAss.com відповідно до умов обслуговування надав поліції все логи після отримання офіційного запиту.
Типовий VPN-провайдер CryptoVPN просить за свої послуги близько 25 доларів на місяць або близько 200 доларів в рік. Приймаються платежі через Bitcoin, Liberty Reserve та інші анонімні сервіси.
Ціна - 25 доларів на місяць
2. Надійний хостинг
Сховавши свою мережу, потрібно знайти надійне місце для хостингу центру управління ботнетом. Його варто шукати там, кому все одно, чим ви займаєтеся на їх серверах і хто не буде вичищати ваш специфічний софт в ході регулярного антивірусного сканування. Такі хостери розташовані або в країнах з ліберальним ставленням до комп'ютерного піратства, або в державах, які не схильні співпрацювати з іноземними правоохоронними органами.
Типовий приклад - румунський хостинг HostimVse з сайтом російською мовою, що пропонує розміщення сайтів з піратським і порнографічним контентом, захищений від атак конкурентів, претензій з боку користувачів і недоступний для дії американського закону DMCA. Компанія також надає додаткові послуги, включаючи захист від DDoS-атак. Ціна на виділений сервер починається з 30 доларів в місяць, але в правила обслуговування входять умови, що дозволяють в разі виявлення ботнет-активності анулювати договір.
Спеціально для ботнетів і іншого malware існують особливі сервіси, які зазвичай рекламуються виключно через тематичні форуми, а для контакту використовується ICQ або Jabber. Багато з них пропонують технічну підтримку по телефону або Skype і послуги з налаштування Apache.
Ціна - від 50 доларів в місяць плюс плата за підтримку
3. Надійний домен і Fast Flux
Для надійного зв'язку з ботами вам будуть потрібні доменні імена з повним доступом до налаштувань DNS. Щоб уникнути швидкого виявлення «командного центру» при підключенні до заражених мереж, знадобиться кілька доменних імен.
Реєстратор таких доменних імен не повинен проявляти підвищений інтерес до вашої особистості і повинен приймати платежі через анонімні служби.
Суттєво посилює безпеку доменів використання технології маскування Fast Flux, що приховує реальні IP-адреси шляхом швидкої зміни (протягом декількох секунд) IP-адреси в запису DNS на адреси з числа будь-яких входять до ботнет машин. У двопоточних мережах (double-flux) використовується додатковий рівень - сервісна мережа ботів, IP-адреси якої також постійно змінюються, що забезпечує додатковий рівень захисту.
На відміну від доменів, послуга Fast Flux коштує чимало: підтримка п'яти прихованих DNS-Сервер обійдеться не менше ніж в 800 доларів. Тому для «бюджетного» ботнету краще почати з покупки декількох доменних імен.
Ціна - від 50 доларів за п'ять доменних імен
4. Платформа і центр управління (C & C)
Існує кілька відомих програмних платформ для створення ботнетів - Carberp, Citadel, SpyEye, ZeuS, причому ціни на них можуть різнитися на порядки. Зокрема, розробники Carberp безпосередньо перед арештом просили за комплект 40 000 доларів, а перші версії ZeuS коштували близько 400. Модифіковані версії ZeuS з функціональністю руткита і набором ПО для початківця користувача обійдуться в 1500 доларів. Молодий конкурент ZeuS, SpyEye з набором модулів-Інжект, коштує приблизно стільки ж.
Оскільки в 2012 році був оприлюднений вихідний код попередніх версій ZeuS, він став відкритим, і на ринку з'явилася маса пропозицій з продажу платформи приблизно за 125 доларів з щомісячним оновленням за 15 доларів і цілодобовою підтримкою за 25 доларів в місяць. Нарешті, не складе особливих труднощів знайти «зламані» версії деяких платформ: ви не отримаєте ні підтримки, ні оновлень, зате не заплатите за них ні копійки.
Ціна - 125 доларів плюс 40 доларів в місяць за поновлення та підтримку
5. Набори веб-Інжект
Популярність платформи ZeuS породила цілу екосистему програмних плагінів, які змінюють або доповнюють функціональність ботнету. Значну їх частину займають так звані Інжект - керуючі ботом модулі, що дозволяють відслідковувати потрібний тип активності в браузері і при відвідуванні інфікованих сайтів «колючі», які впроваджують в браузер необхідний код.
Існують Інжект самого різного призначення - від майже нешкідливого генерування невидимих кліків перегляду рекламних банерів до збору персональної інформації і крадіжки даних онлайн-банкінгу і платіжних систем. Через хакерські форуми можна придбати цілі набори Інжект разом з послугою з їх встановлення та налаштування.
Ціна - 80 доларів за набір плюс 8 доларів на місяць за підтримку
6. Зв'язки експлойтів і онлайн-сервіси
Щоб проникнути на машину жертви і зробити її ботом, необхідно обійти стандартну і антивірусний захист. Для цього застосовуються спеціальні програми - експлойти, що використовують уразливості в браузері, операційної системи або іншому ПО для отримання віддаленого контролю над системою.
Звичайний спосіб зараження для більшості ботнетів - це використання гіперпосилань в поштовому спам або відкриваються разом з основною рекламних сторінок, заповнених безліччю банерів. Всього один клік по такому посиланню призводить до редіректу на вузол ботнету, де розпізнається тип ПО і устаткування клієнта, після чого на нього відправляються відповідні експлойти.
Експлойти продаються наборами або «зв'язками» або надаються в якості онлайнової послуги. Популярний пакет Phoenix можна придбати за 120 доларів плюс 38 доларів в місяць за поновлення та технічну підтримку, онлайновий сервіс BlackHole обійдеться в 50 доларів в день або в 1500 за річну ліцензію при установці на сервер замовника.
Ціна - 120 доларів за набір плюс 38 доларів в місяць за підтримку та оновлення
7. криптор і Дроппер
Щоб антивірусне ПЗ не виявило завантажені на комп'ютер жертви файли по його сигнатурі і не блокувало їх, застосовуються так звані криптор, шифрувальні сигнатури трояна і пов'язаних з ним файлів. Результат роботи криптор - дроппер, здатний встановлювати зашифровані файли в систему, в тому числі модифікувати виконувані файли, а також завантажувати додаткові фрагменти шкідливого коду та інші дані на інфіковану машину.
У багатьох криптор є також функція «антіпесочніци»: антивірусні програми можуть поміщати розпізнані віруси в так звані «пісочниці» або віртуальні машини без можливості виконання їх коду в системі. «Антіпесочніца» розпізнає віртуальне середовище і дозволяє запустити в ній лише нешкідливий код, приховуючи основну функціональність.
Криптор може поставлятися як окрема утиліта за ціною близько 30 доларів, так і як онлайновий сервіс - від 7 доларів за одноразове «криптування» до 20 доларів в місяць за необмежену ліцензію і супутні утиліти.
Ціна - 20 доларів на місяць за криптор і утиліти
8. Спам і послуги із соціального інжинірингу
Щоб змусити майбутніх ботів натиснути на потрібну гіперпосилання і заразити свою машину, використовуються різноманітні засоби соціальної інженерії. Класичний спосіб - «старий добрий» спам. Ви можете просто купити базу електронних поштових адрес або скористатися послугами іншого ботнету, що спеціалізується на спам. Такі ботнети більш ефективні, оскільки вони переорієнтувалися на популярні соціальні мережі, а також розсилки SMS і MMS, причому оплата йде не за розміщене повідомлення, а за хіт.
Більш вишуканий варіант передбачає використання зібраної іншим ботнетом особистої інформації, щоб змусити жертву клацнути по посиланню в поштовому повідомленні або в постінгу в соціальній мережі. Таке повідомлення може бути замасковано під лист з банку, з автосалону або автомайстерні, від хостинг-провайдера, від будь-якої мережевої служби або навіть від будь-якого з «друзів». Викравши персональну інформацію одного члена соціальної мережі, можна включити в ботнет ще й кілька його «френдів».
Для «бюджетного» ботнету спам залишається найкращим вибором: це дешево і все ще ефективно. Розсилка за випадковим набору адрес коштує від 10 доларів за мільйон листів, а за адресами, поміченим в інтересі до певної тематики, - близько 50.
Ціна - 50 доларів за початкову спам-розсилку
Дешево і сердито
Як бачимо, вкладення в створення і експлуатацію «бюджетного» ботнету протягом першого місяця складають всього 606 доларів. Абсолютно смішна сума, доступна практично кожному, - особливо в порівнянні з потенційною вигодою. І така дешевизна зовсім не означає неефективність.
Незважаючи на те що всі основні ботнет-платформи добре відомі і антивірусним компаніям, і фахівцям з безпеки, вони прекрасно маскуються за допомогою доступних криптор і Дроппер, а постійно удосконалюються набори експлойтів здатні інфікувати практично будь-яку машину. За даними сайту ZeusTracker , В середньому антивірусне ПЗ розпізнає код трохи більше 38 відсотків встановлених ботнетів на платформі ZeuS. Так що все це дійсно працює, і шахраї по всьому світу активно користуються ботнетами. Зрозуміло, мережі, керовані непрофесіоналами, набагато швидше розкриваються, в тому числі і правоохоронними органами, але від цього число бажаючих обдурити долю не зменшується.
У всій цій історії лякає зовсім не дешевизна «вхідного квитка» в світ сучасної кіберзлочинності і навіть не те, що для створення власного ботнету більше не потрібно навіть елементарних навичок програмування. Лякає те, з якою легкістю люди натискають дивні посилання і заходять на випадкові сайти. А адже саме це залишається основним способом зараження комп'ютера і перетворення його в бойову одиницю мережі роботів, керованої зловмисниками.
З чого ж складається ціна «бюджетного» ботнету, і як знайти людей, що надають такі послуги?