Festi - Festi

Festi это руткит и ботнет создан на его основе. Работает под управлением операционных систем семейства Windows. Осень 2009 г.[1][2] впервые Festi попала в поле зрения компаний, занимающихся разработкой и продажей антивирусное программное обеспечение. На тот момент было подсчитано, что сам ботнет состоял примерно из 25 000 зараженных машин, а объем спама составлял примерно 2,5 миллиарда спам-писем в день.[3][4][5] Наибольшую активность Festi проявила в 2011-2012 годах.[6][7] По последним оценкам, датированным августом 2012 года, ботнет рассылает спам с 250 000 уникальных IP-адресов, что составляет четверть от общего количества из одного миллиона обнаруженных IP-адресов, отправляющих спам-сообщения.[8] Основным функционалом ботнета Festi является рассылка спама и реализация кибератаки подобно "Распределенный отказ в обслуживании ".[9]

Методы распространения

Распространение осуществляется по схеме PPI (Pay-Per-Install).[10] использовать. Для предотвращения обнаружения антивирусами загрузчик расширяется зашифрованным.[10] что усложняет подпись на основе обнаружения.

Архитектура

Все представленные данные об архитектуре ботнета мы собрали в результате исследования антивирусной компании ESET.[10][11][12]Загрузчик загружает и настраивает бота, который представляет собой драйвер режима ядра который добавляется в список водители которые запускаются вместе с операционной системой. На жестком диске хранится только та часть бота, которая отвечает за связь с командным центром и загрузку модулей. После запуска бот периодически запрашивает у командного центра получение конфигурации, загрузку модулей и задания, необходимые для выполнения.

Модули

Из исследований, проведенных специалистами антивирусной компании. ESET, известно, что у Festi как минимум два модуля. Один из них предназначен для рассылки спама (BotSpam.dll), другой - для осуществления кибератак типа «распределенный отказ в обслуживании» (BotDoS.dll). Модуль для реализации кибератак типа «распределенный отказ в обслуживании» поддерживает следующие типы кибератак, а именно: TCP-flood, UDP-flood, DNS-flood, HTTP (s) -flood, а также пакеты flood со случайным числом в вопрос об используемом протоколе.

Эксперт из "Лаборатория Касперского «Исследование ботнета сделало вывод, что модулей больше, но не все из них используются. В их список входит модуль для реализации socks-сервера (BotSocks.dll) с протоколами TCP и UDP, модуль для удаленного просмотра и управления компьютер пользователя (BotRemote.dll), модуль, реализующий поиск на диске удаленного компьютера и в локальной сети (BotSearch.dll), к которому подключен удаленный компьютер, граббер-модули для всех известных на данный момент браузеров время (BotGrabber.dll).

Модули никогда не сохраняются на жестком диске, что делает их обнаружение практически невозможным.

Сетевое взаимодействие

Бот использует клиент-серверная модель а для работы реализует собственный протокол сетевого взаимодействия с командным центром, который используется для получения конфигурации ботнета, загрузки модулей, а также для получения заданий из командного центра и уведомления командного центра об их выполнении. Данные закодированы, что мешает определению содержимого сетевого трафика.

Защита от обнаружения и отладки

В случае установки бот отключает системный брандмауэр, скрывает драйвер режима ядра и ключи системный реестр необходим для загрузки и работы, защищает себя и ключи реестра от удаления. Работа с сетью происходит на низком уровне, что позволяет легко обходить сетевые фильтры антивирусного ПО. Соблюдается использование сетевых фильтров для предотвращения их установки. Бот проверяет, запущен ли он под виртуальная машина, в случае положительного результата проверки, прекращает свою деятельность. Festi периодически проверяет наличие отладчик и может удалить контрольные точки.

Объектно-ориентированный подход к разработке

Festi создан с использованием объектно-ориентированная технология разработки программного обеспечения, что сильно затрудняет исследования методом разобрать механизм с целью понять, как это работает и делает ли бот легко портированным на другие операционные системы.

Контроль

Все управление ботнетом Festi осуществляется через веб-интерфейс и осуществляется через браузер.

Кто стоит за Festi

По словам специалистов антивирусной компании ESET,[12] американскому журналисту и блогеру Брайан Кребс,[13] эксперт в области информационной безопасности, по мнению американского журналиста Нью-Йорк Таймс газета Эндрю Крамер,[14] а также из источников, близких к российским спецслужбам, архитектору и разработчику ботнета Festi - российскому хакеру. Игорь Артимович.

Вывод

В заключение можно сказать, что ботнет Festi был одним из самых мощных ботнетов для рассылки спама и проведения атак типа «распределенный отказ в обслуживании». Принципы, по которым построен ботнет Festi, максимально увеличивают время жизни ботов в системе, препятствуют обнаружению ботов антивирусным ПО и сетевыми фильтрами. Механизм модулей позволяет расширить функциональность ботнета в любую сторону за счет создания и загрузки необходимых модулей для достижения различных целей, а объектно-ориентированный подход к разработке усложняет исследование ботнета с использованием методов реверс-инжиниринга и дает возможность вероятность переноса бота на другие операционные системы за счет точного разграничения специфических для конкретной операционной системы функций и остальной логики бота. Мощные системы противодействия обнаружению и отладке делают бота Festi практически невидимым и незаметным. Система привязок и использование резервных командных центров дает возможность восстановления контроля над ботнетом после смены командного центра. Festi - нетипичный пример вредоносное ПО поскольку авторы очень серьезно подошли к процессу его разработки.[15]

Смотрите также

Рекомендации

  1. ^ Льюис, Дарен (5 ноября 2009 г.). «Ботнет Festi становится одним из основных ботнетов, рассылающих спам». Symantec Connect.
  2. ^ Каплан, Дэн (6 ноября 2009 г.). «Появился ботнет Festi». Журнал SC.
  3. ^ Джексон Хиггинс, Келли (6 ноября 2009 г.). «Рост популярности ботнета, рассылающего спам, - темное чтение». темное чтение.
  4. ^ Ваттанааджантра, Асавин (6 ноября 2009 г.). "'Фести становится тяжеловесом спам-ботов ». ИТПРО.
  5. ^ "Ботнет Festi стремительно растет". SPAMfighter. 18 ноября 2009 г.
  6. ^ Кирк, Джереми (16 августа 2012 г.). "Spamhaus заявляет, что ботнет Grum мертв, но Festi взлетает". Компьютерный мир.
  7. ^ Кирк, Джереми (17 августа 2012 г.). «Spamhaus объявляет ботнет Grum мертвым, но Festi набирает обороты». Советник по ПК.
  8. ^ Сааринен, Юха (20 августа 2012 г.). «Ботнет Festi увеличивает объемы спама». ITNews.
  9. ^ «Ботнет Festi помогает запускать DDoS-атаку типа« отказ в обслуживании »». Остановить хакеров. 13 июня 2012 г.
  10. ^ а б c Матросов, Александр (11 мая, 2012). «Король спама: анализ ботнета Festi». ESET.
  11. ^ Родионов, Евгений (2011). «Анализ и расследование ботнета Festi» (PDF). ESET. Архивировано из оригинал (PDF) на 2013-12-15.
  12. ^ а б Матросов, Александр (12–14 ноября 2012 г.). "Festi Botnet Analysis & Investigation" (PDF). AVAR 2012. Архивировано из оригинал (PDF) на 2013-12-15.
  13. ^ Кребс, Брайан (12 июня 2012 г.). "Кто такой ботмастер" Festi "?". Кребс о безопасности.
  14. ^ Крамер, Эндрю (2 сентября 2013 г.). "Интернет-атака ведет к заглядыванию в логово спама". Нью-Йорк Таймс.
  15. ^ «Фести: злое и бестелесное». Журнал Xakep. Сентябрь 2012 г.

внешняя ссылка