Компания Symantec представляет информацию об одном из крупнейших современных ботнетов – ZeroAccess. Его высокая устойчивость к средствам защиты базируется, прежде всего, на использовании пиринговых сетей. Специалисты компании Symantec провели лабораторные исследования, в ходе которых были определены принципы «общения» ZeroAccess-ботов друг с другом и найден эффективный способ обезвреживания бот-сети. Эксперты Symantec также оценили соотношение потенциальной прибыльности такого ботнета и затрат на его содержание – расходов на электроэнергию. ZeroAccess – один из крупнейших действующих ботнетов, по данным Symantec в августе 2013 года в каждый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн зараженных компьютеров.
Ключевая особенность ботнета ZeroAccess – использование peer-to-peer (P2P) сетей для передачи команд управления и программных обновлений. И поскольку в данной архитектуре взаимодействия центрального сервера управления не существует, нейтрализовать ботнет простым отключением нескольких серверов злоумышленников невозможно. После заражения вирусом ZeroAccess компьютер первым делом подключается к ближайшим компьютерам-пирам своей сети для обмена информацией о других таких же компьютерах. Таким образом, боты получают информацию друг о друге, что позволяет им в дальнейшем быстро и эффективно распространять команды управления и файлы.
Другой отличительной особенностью ботнета ZeroAccess является поддержание постоянного взаимодействия между ботами своей сети. Каждый бот постоянно поддерживает соединение с другими ботами с целью обмена пир-листами и программными обновлениями, что делает угрозу крайне устойчивой к попыткам ее нейтрализации.
Еще в марте этого года инженеры компании Symantec начали изучать принципы взаимодействия ZeroAccess-ботов друг с другом для того, чтобы понять, как использовать технику синкхолинга (sinkholing) для его обезвреживания. В ходе исследования специалисты Symantec выявили уязвимость ботнета, которая позволяла, хоть и с большим трудом, осуществить синкхолинг. Эксперты провели дальнейшие испытания в лаборатории и нашли действенный способ выведения пиров из-под контроля ботмастера. Одновременно продолжалось наблюдение за активностью ботнета, и 29 июня специалисты Symantec обнаружили, что через P2P-сеть идет распространение новой версии ZeroAccess. Обновленная версия содержала ряд изменений, главное из которых заключалось в устранении уязвимости, делавшей возможным синкхолинг ботнета.
16 июля специалисты компании начали операцию по захвату контроля над ботнетом, в результате которой очень быстро из-под контроля было выведено более полумиллиона ботов, что серьезно отразилось на работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после 5 минут P2P-активности.
В результате, несмотря на устойчивость P2P-архитектуры ботнета ZeroAccess, специалистам Symantec все же удалось отключить большую часть его ботов. Это означает, что эти боты больше не смогут получать команды от ботмастера, обновляться, а также осуществлять ту или иную вредоносную деятельность.Сейчас Symantec работает вместе с интернет-провайдерами и группами реагирования по всему миру, для того чтобы распространять эту информацию и работать над очисткой зараженных компьютеров.
Источник: Ferra
|
