Milioni računara i dalje se regrutuju u bot (zombi) mreže

Vesti, 14.10.2010, 00:43 AM

Prema izveštaju kompanije Microsoft, Sjedinjene Američke Države su zemlja sa najvećim brojem zaraženih računara koji su pod kontrolom neke od bot mreža, sa skoro četvorostruko više zaraženih računara nego u drugoplasiranom Brazilu.

Podaci o bot (zombi) mrežama objavljeni u izveštaju koji se odnosi na period od januara do juna 2010. godine daju sumornu sliku pejsaža zombi mreža. U ovom periodu, Microsoft je uklonio maliciozne programe povezane sa bot mrežama sa više od 6,5 miliona računara širom sveta, što je porast od 100% u odnosu na isti period prošle godine. Do ovako dramatičnog porasta dolazi u trenutku kada je sva pažnja stručnjaka za kompjutersku bezbednost i agencija koje se bave sprovođenjem zakona o sajber-bezbednosti usmerena upravo na problem bot mreža.

Za procenu obima botnet infekcija Microsoft je koristio broj računara koje je pomoću svoje alatke za uklanjanje malicioznog softvera (Malicious Software Removal Tool) očistio od malicioznih programa povezanih sa bot mrežama. Podaci koje je Microsoft prezentovao javnosti ne daju potpunu sliku o bot infekcijama na internetu u celini, ali daju presek stanja problema infekcije kompjutera koje kompanija nadgleda.

Tokom poslednjih godinu dana, nekoliko velikih spam bot mreža su ili potpuno osakaćene ili na neki način oštećene uklanjanjem komandnih i kontrolnih servera koji rukovode bot mrežama. Zombi mreže Pushdo i Waledac su dva najznačajnija primera ovakvih nastojanja, a zvaničnici kompanije Microsoft koji su bili uključeni u demontažu Waledac-a u septembru su od suda zatražili vlasništvo nad stotinama IP adresa koje koristi ova bot mreža.

Bot mreža Waledac je korišćena za slanje spam email-ova i infekciju kompjutera lažnim antivirusnim softverom, a koristila je komplikovani P2P sistem za komunikaciju sa drugim zaraženim računarima. Tokom drugog kvartala ove godine Microsoft je očistio 29816 kompjutera iz Waledac bot mreže, mnogo manje u odnosu na prvi kvartal kada je taj broj iznosio 93580 zaraženih računara.

Međutim, Waledac nije ni bio među najvećim spam bot mrežama tako da ovi podaci ukazuju da je broj velikih bot mreža još uvek veliki, mada su one manje poznate od mreža kakve su Waledac, Pushdo i Zeus, koje još uvek seju haos na internetu.

Najčešće detektovani bot klijent prema ovom izveštaju je Rimecud, maliciozni kod koji je odgovoran za zombi mrežu Mariposa, kojeg je Microsoft uklonio sa 3,5 miliona zaraženih računara. Neke od najčuvenijih bot mreža, uključujući i Rustock, Nuwar i Zbot su dosta nisko pozicionirani na listi najaktivnijih bot mreža.

“Rimecud je porodica 'kit' programa: različiti ljudi radeći nezavisno jedni od drugih koriste alatku za kreiranje malicioznog softvera kako bi napravili sopstvene Rimecud bot mreže. Rimecud je porodica malware-a koja stoji iza takozvane Mariposa bot mreže, koja je zarazila milione kompjutera širom sveta tokom 2009. i 2010. godine. U julu 2010. godine slovenačka policija je uhapsila 23-godišnjeg slovenačkog državljanina pod sumnjom da je autor malicioznog koda, nakon što je u februaru španska civilna garda uhapsila troje osumnjičenih za bot mrežu Mariposa,” kaže se u kompanijskom izveštaju. “Rimecud je backdoor crv koji se širi putem prenosivih i neprenosivih uređaja, i slanjem malicioznih hiperlinkova svima sa kontakt lista korisnika zaraženog kompjutera putem nekoliko popularnih instant messaging programa. Rimecud-u može da se naredi preduzimanje brojnih tipično botnet aktivnosti, uključujući širenje sopstvenog koda preko prenosivih diskova, preuzimanje i pokretanje dodatnih malicioznih programa i krađa lozinki.”

Rimecud za razliku od mnogih drugih bot mreža ima sopstveni mrežni protokol, zasnovan na UDP, koji se koristi za komunikacije između bot računara i komandnih i kontrolnih servera (C&C server). Brojne druge bot mreže koriste modifikovane, ili na neki način prilagođene protokole za komunikaciju, otežavajući istraživačima analizu karakteristika bot mreže. Napadači koji stoje iza ovih zombi mreža postali su poslednjih godina inteligentniji i sofisticiraniji, učeći iz sopstvenih grešaka u prošlosti, ali i iz postupaka istraživača i agencija za borbu protiv sajber-kriminala.

Jedan od ključnih metoda koje su napadači usvojili čineći posao istraživača bezbednosti mnogo težim je da ne koriste već napravljeni bot softver, “sa police”, već da kupuju komplete pribora kojima će sami napraviti bot prilagođen sopstvenim potrebama.

“Nekoliko kompleta alatki su dostupne za besplatno preuzimanje i razmenu; neki su objavljeni kao open source kod, koji omogućava autorima malicioznog softvera da razviju modifikovane verzije kompleta. Pojedine grupe su razvile komplete alatki koje prodaju kao legitimne komercijalne softverske proizvode, koji ponekad uključuju i ugovor o tehničkoj podršci,” kaže se u Microsoft-ovom izveštaju.

Preuzeto sa