święto

Festi to rootkit i stworzony na jego podstawie botnet . Działa pod systemami operacyjnymi z rodziny Windows. Jesienią 2009 roku Festi po raz pierwszy pojawił się w oczach firm zajmujących się tworzeniem i sprzedażą oprogramowania antywirusowego . W tym czasie oszacowano, że sam botnet składał się z około 25 000 zainfekowanych maszyn, a jego objętość spamu wynosiła około 2,5 miliarda wiadomości spamowych dziennie. Największą aktywność Festi wykazywał w latach 2011-2012. Nowsze szacunki — z sierpnia 2012 r. — wskazują, że botnet wysyła spam z 250 000 unikalnych adresów IP, co stanowi jedną czwartą z łącznej liczby miliona wykrytych adresów IP wysyłających spam. Główną funkcjonalnością botnetu Festi jest rozsyłanie spamu i realizacja cyberataków typu „ rozproszona odmowa usługi ”.

Metody dystrybucji

Dystrybucja odbywa się z wykorzystaniem schematu PPI (Pay-Per-Install). Aby zapobiec wykryciu przez programy antywirusowe, program ładujący rozszerza szyfrowanie, co komplikuje sygnaturach .

Architektura

Wszystkie reprezentowane dane dotyczące architektury botnetu zebraliśmy od firmy badawczej ESET Antivirus. Program ładujący pobiera i konfiguruje bota, który reprezentuje sterownik trybu jądra , który dodaje się do listy sterowników uruchamianych wraz z systemem operacyjnym. Na dysku twardym przechowywana jest tylko część bota odpowiedzialna za komunikację z centrum dowodzenia i ładowanie modułów. Po uruchomieniu bot okresowo prosi centrum dowodzenia o otrzymanie konfiguracji, załadowanie modułów i zadań niezbędnych do wykonania.

Moduły

Z badań przeprowadzonych przez specjalistów firmy antywirusowej ESET wiadomo, że Festi ma co najmniej dwa moduły. Jeden z nich służy do wysyłania spamu (BotSpam.dll), drugi do przeprowadzania cyberataków typu „distributed denial of service” (BotDoS.dll). Moduł do realizacji cyberataków typu „distributed denial of service” obsługuje następujące rodzaje cyberataków, a mianowicie: TCP-flood, UDP-flood, DNS-flood, HTTP(s)-flood, a także flood pakiety z losową liczbą w kwestia stosowanego protokołu.

Ekspert z Kaspersky Lab badający botnet wyciągnął wniosek, że modułów jest więcej, ale nie wszystkie z nich są używane. Ich lista obejmuje moduł do implementacji skarpetek-serwera (BotSocks.dll) z protokołami TCP i UDP, moduł do zdalnego podglądu i kontroli komputera użytkownika (BotRemote.dll), moduł do wyszukiwania na dysku komputer zdalny oraz w sieci lokalnej (BotSearch.dll), do której podłączony jest komputer zdalny, moduły grabber dla wszystkich znanych obecnie przeglądarek (BotGrabber.dll).

Moduły nigdy nie są zapisywane na dysku twardym, który praktycznie uniemożliwia ich wykrycie.

Interakcja sieciowa

Bot wykorzystuje model klient-serwer i do funkcjonowania implementuje własny protokół interakcji sieciowej z centrum dowodzenia, który służy do odbierania konfiguracji botnetu, ładowania modułów, a także do pozyskiwania zadań z centrum dowodzenia i powiadamiania centrum dowodzenia o ich wykonaniu . Dane są kodowane, co przeszkadza w określaniu zawartości ruchu sieciowego.

Ochrona przed wykryciem i debugowaniem

W przypadku instalacji bot wyłącza zaporę systemową , ukrywa sterownik trybu jądra oraz klucze rejestru systemowego niezbędne do ładowania i działania, zabezpiecza siebie i klucze rejestru przed usunięciem. Współpraca z siecią odbywa się na niskim poziomie, który pozwala łatwo ominąć filtry sieciowe oprogramowania antywirusowego. Obserwuje się stosowanie filtrów sieciowych, aby zapobiec ich instalacji. Bot sprawdza, czy jest uruchamiany pod maszyną wirtualną , w przypadku pozytywnego wyniku kontroli zatrzymuje działania. Festi okresowo sprawdza istnienie debuggera i jest w stanie usunąć punkty przerwania .

Obiektowe podejście do rozwoju

Festi jest tworzony przy użyciu obiektowej technologii tworzenia oprogramowania, która mocno komplikuje badania metodą inżynierii odwrotnej i robi bota łatwo przeportowanego na inne systemy operacyjne.

Kontrola

Cała kontrola nad botnetem Festi jest realizowana za pomocą interfejsu WWW i odbywa się za pośrednictwem przeglądarki.

Kto stoi za Festi

Według specjalistów firmy antywirusowej ESET, amerykańskiego dziennikarza i blogera Briana Krebsa , eksperta w dziedzinie bezpieczeństwa informacji, według amerykańskiego dziennikarza gazety The New York Times Andrew Kramera, a także ze źródeł bliskich rosyjskim służbom wywiadowczym, architekt oraz twórca botnetu Festi — rosyjski haker Igor Artimowicz .

Wniosek

Podsumowując, można stwierdzić, że botnet Festi był jednym z najpotężniejszych botnetów do wysyłania spamu i przeprowadzania ataków typu „rozproszona odmowa usługi”. Zasady, według których zbudowany jest botnet Festi maksymalnie wydłużają czas życia bota w systemie, utrudniają wykrycie bota przez oprogramowanie antywirusowe i filtry sieciowe. Mechanizm modułów pozwala rozszerzać funkcjonalność botnetu w dowolną stronę poprzez tworzenie i ładowanie niezbędnych modułów do realizacji różnych celów, a obiektowe podejście do rozwoju komplikuje badanie botnetu metodami inżynierii wstecznej i daje możliwość przeniesienia bota na inne systemy operacyjne poprzez dokładne rozgraniczenie specyficznych dla konkretnego systemu operacyjnego funkcjonalności i pozostałej logiki bota. Potężne systemy przeciwdziałania wykrywaniu i debugowaniu sprawiają, że Festi bot jest prawie niewidoczny i niewidoczny. System powiązań i wykorzystanie rezerwowych centrów dowodzenia daje szansę na przywrócenie kontroli nad botnetem po zmianie centrum dowodzenia. Festi jest nietypowym przykładem złośliwego oprogramowania , ponieważ autorzy podeszli do procesu jego tworzenia niezwykle poważnie.

Zobacz też

Linki zewnętrzne