Война ботов, или как зарабатывают киберпреступники?
Мы уже давно наблюдаем за развитием ситуации, связанной с вредоносной программой Win32/TrojanDownloader.Bredolab, в народе известной больше, как Zeus bot, или еще проще — Зевс. Это довольно успешное вредоносное поделье (не поворачивается язык назвать это продуктом) вирусописателей, уже давно прижилось на рынке злонамеренных программ, и пользуется большой популярностью среди киберприступников. Ресурс ZeuS Tracker до сих пор фиксирует большое количество активных центров управления, созданных благодаря распространению данного троянца. Каждый такой центр может управлять огромным количеством ботов. Но чтобы не концентрировать в одном месте управление большим ботнетом, злоумышленники дробят его на несколько более мелких, на случай, если один из них выйдет по каким-либо причинам из строя.
По статистике ZeuS Tracker, на сегодняшний день всего зафиксировано 1296 командных центра данного ботнета, из них активны сейчас только 697.
Но по нашим измерениям, концентрация этих троянцев в общем потоке вредоносного трафика по-прежнему очень высока.
Успех Зевса в киберпреступном сообществе в первую очередь связан с продуманной бизнес-моделью. Его создатели распространяют свое преступное детище в составе нескольких компонентов — это генератор ботов/троянцев и полностью готовый к использованию центр управления ботами. Собственно, сам генератор ботов необходим для задания различных параметров работы троянца, например, целевые установки для кражи различного рода персональных данных.
Второй компонент — это центр управления, который позволяет киберпреступникам отслеживать статистику распространения своих ботов, а также удаленно обновлять конфигурационные параметры ботов.
Зевс активно распространялся в течение всего 2009 года, хотя были зафиксированы и моменты наиболее повышенной его активности, как, например, середина прошлого лета. Именно в это время всплыла информация о нескольких незакрытых уязвимостях в продуктах компании Adobe, что послужило катализатором для повышенной активности со стороны киберпреступников. Ничто не предвещало проблем для, казалось бы, продуманной стратегии распространения Zeus bot, но в конце 2009 года на киберкриминальной сцене появляется новый «продукт» с аналогичной целевой аудиторией, и имя ему – SpyEye, или, по нашей классификации, троянская программа, которая принадлежит к семейству Win32/Spy.SpyEye. Он так же распространяется с набором компонентов для генерации ботов и командного центра.
Win32/Spy.SpyEye нацелен на тех же покупателей, что и Зевс, но возникает вопрос, как противоборствующим группировкам поделить этот рынок между собой? И создатели SpyEye выбрали наиболее бесцеремонный способ из всех возможных — просто удалять своего конкурента с компьютеров своих жертв.
Таким образом, киберпреступники хотят захватить часть рынка, принадлежащего Зевсу, причем, жестко и бесцеремонно. При этом можно выдвинуть несколько версий такой борьбы. Возможно, сами создатели Зевса пытаются распространить новую вредоносную программу и таким брутальным способом заменить свое устаревшее детище, так как SpyEye имеет более совершенный механизм удаленного контроля и управления.
Кстати, уместно вспомнить события 2004 года, когда велась ожесточенная конкуренция между тремя киберпреступными группировками: Bagle, Mydoom и Netsky. Причем Netsky бесцеремонно удалял своих соперников. Конкуренция в бизнесе есть всегда, а в криминальном бизнесе она обретает особенно жесткие очертания.
Что касается Win32/Spy.SpyEye, то он тоже нацелен, в первую очередь, на кражу персональных данных. Троянец имеет на своем борту клавиатурного шпиона, функции для кражи FTP-паролей и POP3-паролей, а также функционал по отслеживанию ввода данных в популярных веб-браузерах (IE, FF). В случае, если эти данные представляют коммерческий интерес, вредоносная программа отправляет их злоумышленникам. Как и в случае с Зевсом, боты общаются с командным центром по HTTP-протоколу. Если рассматривать реализацию вредоносного функционала, этот троянец не представляет ничего интересного с аналитической точки зрения, так как использует вполне стандартные методы, которые ранее уже встречались в других злонамеренных программах.
Сегодня мы наблюдаем эволюцию, так называемых, «наборов» для ведения киберкриминального бизнеса. Очевидно, что создатели этой вредоносной заразы заботятся о своих преступных клиентах, и каждый из них пытается предложить более качественное поделье. Интересно, что же произойдет дальше…
комментарии (62)
Еще раз привет от Entamoeba histolytica, dohlik ;)
скайботнет придет к выводу, что человечество является угрозой для его существования и примет решение об его уничтожении. :)продолжаем:
например тут:
forum.xakep.ru/m_1662086/tm.htm, есть icq 457-11-22, не такая большая проблема пробить IP, да и вообще деанонимизировать человека. Только вот это никому не надо, и походу не надо основным борунцам — антивирусным компаниям.
Вы представляете какое баблище крутится в этом бизнесе и как серьезно люди подходят к безопасности?
TOR подходит для разных вещей, тот факт что Вам он знаком только по представленному Вами применению, не доказывает ничего, кроме возможности и такого использования. Другое дело, что одного TORа не достаточно во-первых, из-за наличия фейковых TOR-серверов, во-вторых из-за недавно опубликованной на Хабре истории о его хаке.
Одного прокси не достаточно, поскольку Вы ничего не знаете о его хостере. Всякие там надписи «100% anonymous» и «мы не ведем никаких логов» ничего не доказывают.
Абузоустойчивый или свой VPN — это хорошо и практически основная часть гарантий безопасности. Но знаете, если владельцев сервака ОМОН положит мордой в пол под автоматами — Вас сдадут. Хостеру по-любому что-то о Вас известно (Ваше имя или Вашу айпишку или провайдера или канал оплаты хостинга). Это очень хорошо поможет Вас найти.
И, честно говоря, не понимаю, почему киберпреступник не может использовать ICQ? Это какое-то табу? Штамп? Пользуешься ICQ — значит ламер?
Вы собирались использовать публичный проксик который нашли по запросу «anonymous proxy» в гугле?
Поэтому сервак лолжен быть в стране явно не любящей страну где ты работаешь. Можно 2 заюзать. Например, один в китае, второй где-то в тайланде :)
Может быть потому, что теперь оснонвая масса пользователей ICQ это 13 летнии девочки? Нет вы серьезно собираетесь вести «деловую» переписку на серверах компании которые находятся в США(напомню, что США и Россия подписали договор о взаимопомощи борьбы с киберпреступниками)? Да и вообще многие даже уже джабером с шифрованием не пользуются, а ушли в сети типа FreeNET.
Если он перейдет дорогу серьезным лицам — его найдут в 24 часа, даже если он спрятался на марсе.
И скормят крокодилам.
Просто все это _пока что_ — игрушки. Когда пойдут серьезные дела — будет серьезно все.
Но лучше конечно не болеть и вирусов не подхватывать.
Пусть для профилактики только будет.
А «приравняли к героину» — я имел в виду юридически. То есть с героином тебя поймают или со спайсом — срок получишь одинаковый.
https://buythemg.com/
«Как я помню»«Насколько я помню»Диван -> диванец
Баян -> баянец
Кочан -> кочанец
… and so on
продолжение…
Слова автора этого бота:
«Я — автор. Сейчас имеется команда разработчиков, активно работающих над проектом.»
Они это называют проектом!
Т.е. тупо ободрать кому-то карту — это проект… украсть пароли от мыла — это проект. Если раньше это называли «хакнул», то сейчас «выполнил проект».
Или вот это: «Больше никаких медленных соксов, никакой монотонной работы, никаких косяков неопытных вбивальщиков — просто — указали картон, запустили задание, получили $. =)»… все ж так просто оказывается!
Я злюсь из-за того, что эти вещи вылазят, как что-то обыденное, как вкатывание асфальта в снег в Питере.
Волна спама — могла бы заставить всех перейти на нормальный почтовый протокол.
Зампедление интернета — заставило бы провайдеров бороться с паразитным и ДДОС-трафиком.
Есть гораздо более вредные люди, например СЕО-шники, использующие SAPE или СМС-лохотронщики, они куда как больше вреда приносят.
Долю Windows на десктопах уже никогда не снизят пока не научаться остальные писать быстро и качественно драйвера.
Никакой протокол не спасет от спама, нет даже намеков на такие решения.
Борьба с ДДОС это отключить клиента, фильтровать все 65 тыс. портов клиента никто не будет.
Насчет СЕО мало что скажу, но пока мне они не мешали в поиске по гуглу. А СМС с лохотронами это уже на уровне законов надо регулировать, никто не запрещает проявить гражданскую инициативу.
классный троян
я вообще был удивлен, увидев с какой легкостью он дописывает хтмл в ИЕ и ФФ
тем не менее в Опере эти трояны не работают, что успокаивает
известным как лейбл наркотических смесей Spice тут с какой целью так часто использован?
«жестко и бесцеремонно»
т.е. рассылать троян — это так, нормальненько
а при этом удалять
продолжаю мысль:
Умиляют эти фразы из уст антивирусников:
«наиболее бесцеремонный способ из всех возможных — просто удалять своего конкурента с компьютеров своих жертв»
«Таким образом, киберпреступники хотят захватить часть рынка, принадлежащего Зевсу, причем, жестко и бесцеремонно»
Т.е. заражать троянами — это нормально. А вот удалять при этом другой троян — жестко и бесцеремонно!
Странно читать такое в фиде антивирусной компании.
Анитивирусы в таком случае — просто за гранью жесткости и бесцеремонности.
Автору статьи надо определиться с проф. ориентацией, по-моему :-)
А то что Спай составит в будущем конкуренцию Зевсу — может быть… Но это еще не совсем скоро, в Спаю еще нужно много вещей доработать. Да и к Зевсу все привыкли, а люди существа инертные.
Хотя это хорошо, ведь даст возможность выбора. Хотя есть аналоги Зевса, но еще ниодин с ним последние года не сравнился.
— не поворачивается язык назвать это продуктом
По крайней мере Зевс написан качественне чем НОД :). Да и рынок у него побольше )