Занимаясь по совместительству со своей основной работой анализом вирусной активности, возникли определенные идеи по поводу того, что нас может ждать в ближайшем будущем в отношении ботнетов(спам, DoS и т.д.). Речь пойдёт о возможных методах управления ботнетами.
Анализируя последние методы управления ботнетами видно, что основной упор делается на DNS. Т.е. для определения управляющего сервера используются определенные имена зарегистрированных доменов по которым определяется адрес сервера(данные основаны на анализе разных версий вируса Kido).
Данный метод перестаёт быть эффективным, т.к. судя по последней версии Kido, вирус генерит особым способом подготовленные dns имена в количестве 50000 штук ежедневно. Естественно, что данный метод приведет к увеличению DNS трафика и более легкому обнаружению вирусованной машины, а также к быстрой изоляции данной машины для блокирования доступа к управляющему серверу.
Всем известно, что к основным способам взаимодействия вирусованной машины с центром ботнета является p2p, в некоторых случаях это может быть ssh или http. Основная проблема p2p заключается в том, что оно очень легко фильтруется нехитрым набором правил блокирующих udp пакеты и tcp пакеты вне разрешенного диапазона. SSH не всегда открыт на шлюзах наружу, а http/https очень легко ловится через proxy сервер и таким образом очень легко обнаруживается центр управления.
Предположительно следующим шагом развития управления ботнетами будет глубокое использование социальных сетей. Большинство социальных сетей (личные, публичные блоги, сайты знакомств, одноклассников и т.д.) предоставляют сервисы которые без труда можно использовать для обеспечения скрытого взаимодействия ботнетов друг с другом. Достаточно ярким примером может служить twitter.
Вы регистрируете несколько десятков имён по заданному алгоритму не затрачивая денежные и аппаратные ресурсы на регистрацию доменного имени и обслуживающих dns сервисов. Далее простым апдейтом статуса на данном сайте Вы указываете в зашифрованном виде адрес управляющего сервера или директивы управления ботнетом (откуда что взять и куда что доставить). Т.к. социальные сети имеют гигантский трафик, их очень тяжело контролировать с точки зрения создания и регистрации новых пользователей или сообществ.
Капчи и прочие защиты регистрации обходятся путём привлечения человеческих ресурсов с оплатой труда (таких в интернете уже достаточное количество). Регистраций в день может быть несколько тысяч, для обновления статуса уже существуют свои протоколы и программы из которых эти протоколы можно отреверсить. В итоге получается гибкая система для управления ботнетом, которая защищена практически со всех сторон сервисом компании предоствляющей данный сервис.
Ранее популярный метод управления ботнетом через irc вполне может быть эскалирован в использование Jabber как управляющего транспорта. Jabber позволяет шифровать информацию от отправителя к получателю и имеет довольно сильную защиту от внешних вторжений в виде нормальной системы авторизации собеседников. Т.о. управляющий сервер практически становится неуязвимым с точки зрения вторжения антивирусных компаний для перехвата управления. На данный момент существует огромное количество шлюзов для работы в Jabber через web, это максимально упрощает задачу получения управления при фильтрации портов Jabber сервисов. «Почему именно Jabber ?» — спросите Вы. Всё очень просто. Jabber набирает обороты, он открыт, прост в реализации на стороне клиента(xml) и имеет серьёзную поддержку со стороны довольно крупных сервисов, таких как: Google, Yandex, Livejournal, Mail.ru и прочих.
Данная информация предоставлена в виде попытки показать обратную сторону медали развития современной инфраструктуры, а также нецелевого использования популярных сервисов. Я здесь описал всего-лишь 2 варианта нецелевого использования сервисов, но этих вариантов несколько десятков, если не сотен, и включив голову в реализации тех или иных механизмов защиты и растространения можно получить невероятные и поистине безграничные возможности.
Анализируя последние методы управления ботнетами видно, что основной упор делается на DNS. Т.е. для определения управляющего сервера используются определенные имена зарегистрированных доменов по которым определяется адрес сервера(данные основаны на анализе разных версий вируса Kido).
Данный метод перестаёт быть эффективным, т.к. судя по последней версии Kido, вирус генерит особым способом подготовленные dns имена в количестве 50000 штук ежедневно. Естественно, что данный метод приведет к увеличению DNS трафика и более легкому обнаружению вирусованной машины, а также к быстрой изоляции данной машины для блокирования доступа к управляющему серверу.
Всем известно, что к основным способам взаимодействия вирусованной машины с центром ботнета является p2p, в некоторых случаях это может быть ssh или http. Основная проблема p2p заключается в том, что оно очень легко фильтруется нехитрым набором правил блокирующих udp пакеты и tcp пакеты вне разрешенного диапазона. SSH не всегда открыт на шлюзах наружу, а http/https очень легко ловится через proxy сервер и таким образом очень легко обнаруживается центр управления.
Предположительно следующим шагом развития управления ботнетами будет глубокое использование социальных сетей. Большинство социальных сетей (личные, публичные блоги, сайты знакомств, одноклассников и т.д.) предоставляют сервисы которые без труда можно использовать для обеспечения скрытого взаимодействия ботнетов друг с другом. Достаточно ярким примером может служить twitter.
Вы регистрируете несколько десятков имён по заданному алгоритму не затрачивая денежные и аппаратные ресурсы на регистрацию доменного имени и обслуживающих dns сервисов. Далее простым апдейтом статуса на данном сайте Вы указываете в зашифрованном виде адрес управляющего сервера или директивы управления ботнетом (откуда что взять и куда что доставить). Т.к. социальные сети имеют гигантский трафик, их очень тяжело контролировать с точки зрения создания и регистрации новых пользователей или сообществ.
Капчи и прочие защиты регистрации обходятся путём привлечения человеческих ресурсов с оплатой труда (таких в интернете уже достаточное количество). Регистраций в день может быть несколько тысяч, для обновления статуса уже существуют свои протоколы и программы из которых эти протоколы можно отреверсить. В итоге получается гибкая система для управления ботнетом, которая защищена практически со всех сторон сервисом компании предоствляющей данный сервис.
Ранее популярный метод управления ботнетом через irc вполне может быть эскалирован в использование Jabber как управляющего транспорта. Jabber позволяет шифровать информацию от отправителя к получателю и имеет довольно сильную защиту от внешних вторжений в виде нормальной системы авторизации собеседников. Т.о. управляющий сервер практически становится неуязвимым с точки зрения вторжения антивирусных компаний для перехвата управления. На данный момент существует огромное количество шлюзов для работы в Jabber через web, это максимально упрощает задачу получения управления при фильтрации портов Jabber сервисов. «Почему именно Jabber ?» — спросите Вы. Всё очень просто. Jabber набирает обороты, он открыт, прост в реализации на стороне клиента(xml) и имеет серьёзную поддержку со стороны довольно крупных сервисов, таких как: Google, Yandex, Livejournal, Mail.ru и прочих.
Данная информация предоставлена в виде попытки показать обратную сторону медали развития современной инфраструктуры, а также нецелевого использования популярных сервисов. Я здесь описал всего-лишь 2 варианта нецелевого использования сервисов, но этих вариантов несколько десятков, если не сотен, и включив голову в реализации тех или иных механизмов защиты и растространения можно получить невероятные и поистине безграничные возможности.
