Symantec провела операцию по захвату одного из крупнейших ботнетов

1174
Symantec Logo

Корпорация Symantec представляет информацию об одном из крупнейших современных ботнетов – ZeroAccess. Его высокая устойчивость к средствам защиты базируется, прежде всего, на использовании пиринговых сетей. Специалисты компании Symantec провели лабораторные исследования, в ходе которых были определены принципы «общения» ZeroAccess-ботов друг с другом и найден способ обезвреживания бот-сети. Эксперты также оценили соотношение потенциальной прибыльности такого ботнета и затрат на его содержание – расходов на электроэнергию.

ZeroAccess – один из крупнейших действующих ботнетов, по данным Symantec в августе 2013 года в каждый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн заражённых компьютеров.

Ключевая особенность ботнета ZeroAccess – использование peer-to-peer (P2P) сетей для передачи команд управления и программных обновлений. И поскольку в данной архитектуре взаимодействия центрального сервера управления не существует, нейтрализовать ботнет простым отключением нескольких серверов злоумышленников невозможно. После заражения вирусом ZeroAccess компьютер первым делом подключается к ближайшим компьютерам-пирам своей сети для обмена информацией о других таких же компьютерах. Таким образом, боты получают информацию друг о друге, что позволяет им в дальнейшем быстро и эффективно распространять команды управления и файлы.

Другой отличительной особенностью ботнета ZeroAccess является поддержание постоянного взаимодействия между ботами своей сети. Каждый бот постоянно поддерживает соединение с другими ботами с целью обмена пир-листами и программными обновлениями, что делает угрозу крайне устойчивой к попыткам её нейтрализации.

Перехват ботнета

Ещё в марте этого года инженеры компании Symantec начали изучать принципы взаимодействия ZeroAccess-ботов друг с другом для того, чтобы понять, как использовать технику синкхолинга (sinkholing) для его обезвреживания. В ходе исследования была выявлена уязвимость ботнета, которая позволяла, хоть и с большим трудом, осуществить синкхолинг. Эксперты провели дальнейшие испытания в лаборатории и нашли действенный способ выведения пиров из-под контроля ботмастера. Одновременно продолжалось наблюдение за активностью ботнета, и 29 июня специалисты Symantec обнаружили, что через P2P-сеть идёт распространение новой версии ZeroAccess. Обновлённая версия содержала ряд изменений, главное из которых заключалось в устранении уязвимости, делавшей возможным синкхолинг ботнета. Данная уязвимость ZeroAccess обсуждалась исследователями в отчёте, опубликованном в мае 2013 г., и именно это могло стать причиной обновления ботнета.

Итак, наблюдая за распространением обновления и уже имея на руках рабочий план, эксперты Symantec встали перед выбором: начать операцию прямо сейчас или подвергнуться риску навсегда упустить этот шанс. 16 июля специалисты компании начали операцию по захвату контроля над ботнетом, в результате которой очень быстро из-под контроля было выведено более полумиллиона ботов, что серьёзно отразилось на работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после 5 минут P2P-активности. Чтобы в полной мере понять последствия этой операции, нужно рассмотреть цели использования ботнета.

ZeroAccess как служба доставки

Судя по структуре и поведению, ботнет ZeroAccess в первую очередь предназначен для доставки модулей «полезной нагрузки» на заражённые компьютеры, которые направлены на получение прибыли и делятся на два основных типа.

  • Click fraud

    Первый тип – троянец, загружающий на компьютер интернет-рекламу и сам же осуществляющий переход по рекламным ссылкам как обычный легитимный пользователь, зарабатывая таким образом деньги в партнёрских программах типа pay-per-click (платить за клик, PPC).

  • Bitcoin mining

    Второй тип – “Bitcoin mining”. Виртуальная валюта представляет для злоумышленников особый интерес. Каждая виртуальная монета зарабатывается за счёт выполнения компьютером ряда математических операций. Такой способ приносит ботмастеру прямую прибыль и обходится жертве в немалые суммы денег. Эксперты Symantec изучили финансовые аспекты и результаты такого метода, использовав для этого устаревшее оборудование в лаборатории компании.

Финансовые аспекты использования ZeroAccess

Специалисты Symantec взяли старое оборудование, которое нашли в офисе, и с его помощью изучили энергозатраты и финансовую выгоду использования подобных схем, при этом рассмотрели и “Bitcoin mining”, и “Click fraud”, уделив наибольшее внимание первому варианту как более энергозатратному и приносящему прямую прибыль ботмастеру. Сотрудники Symantec заразили троянцем ZeroAccess тестовый компьютер и перевели его в режим “Bitcoin mining”, помимо этого в распоряжении специалистов был также незаражённый компьютер, работающий в режиме ожидания. Оба компьютера были подключены к ваттметрам для измерения уровня потребления энергии обеими системами. Сотрудники Symantec получили очень любопытные результаты:

Конфигурация тестового компьютера:

  • Модель: Dell OptiPlex GX620 Pentium D 945 3,4 ГГц 2 ГБ ОЗУ (Максимальное значение TDP – 95 Вт)
  • Расход электроэнергии в час в режиме “Bitcoin mining”: 136,25 Вт
  • Расход электроэнергии в час в режиме ожидания: 60,41 Вт
  • Скорость работы системы: 1,5 MHash/S

Примерные параметры “Bitcoin mining”:

  • Курс обмена Bitcoin/доллар США: 131
  • Параметр «сложности» Bitcoin: 86933017,7712

ZeroAccess

Bitcoin mining

“Bitcoin mining” на такой системе оказался бы крайне неуспешным занятием: за год непрерывной работы был бы заработан всего 41 цент! Но если в вашем распоряжении находится 1,9 млн. ботов, то ситуация кардинально меняется. Такой ботнет способен приносить ботмастеру тысячи долларов в день. Конечно, не каждый компьютер будет доступен всё время, кроме того, у каждого компьютера в ботнете свой режим работы, свой уровень производительности и загрузки, поэтому это всего лишь приблизительные данные. В своих расчётах специалисты Symantec предположили, что все боты сети работают 24 часа в сутки и их производительность идентична производительности тестовой системы.

Click fraud

Боты в режиме “Click Fraud” также достаточно активны. В испытаниях экспертов Symantec каждый бот использовал примерно 257МБ интернет-трафика в час, или 6.1ГБ в день, совершая около 42 переходов по рекламным ссылкам в час (1008 в день). И хотя каждый клик может приносить лишь долю цента, учитывая огромные размеры ботнета, злоумышленник может зарабатывать десятки миллионов долларов в год.

Теперь, после того как стала понятной возможная прибыльность этой деятельности, следует рассмотреть стоимость содержания такого ботнета с точки зрения расходов на электроэнергию.

Энергозатраты

Для того чтобы оценить, во что ZeroAccess обходится ни о чем не подозревающим жертвам, сотрудники Symantec высчитали разницу в энергетических затратах между режимом ожидания и режимом “Bitcoin mining”. В испытаниях Symantec разница составила 1,82 КВт⋅ч в день, что для отдельно взятой жертвы не выглядит слишком затратно.

  • Расход электроэнергии в режиме “Bitcoin mining”: (136.25/1000)*24 = 3.27 КВт⋅ч в день
  • Расход электроэнергии в режиме ожидания: (60.41/1000)*24 = 1.45 КВт⋅ч в день
  • Разница: 1.82 КВт⋅ч в день

Эти цифры дают представление о влиянии ZeroAccess на отдельно взятый компьютер, и можно представить стоимость и последствия деятельности ботнета, который насчитывает 1,9 млн. подобных систем.

Если 1 КВт⋅ч стоит $0.162, то 24 часа режима “Bitcoin mining” одним ботом обходятся в $0.29. Но если умножить эту цифру на 1.9 млн., то мы видим расход электроэнергии в 3458000 КВт⋅ч (3458 МВт⋅ч достаточно для того, чтобы целый день освещать 111000 домов). Такое количество энергии эквивалентно $560887 в день и значительно превышает выработку крупнейшей электростанции в штате Калифорния – Мосс-Лендинг, которая производит 2484 МВт. При этом количество виртуальных монет будет эквивалентно $2165! При таком раскладе, если за электричество платят злоумышленники, “Bitcoin mining” оказывается экономически нецелесообразным предприятием. Однако, если он осуществляется за счёт других, это в корне меняет картину и делает такое предприятие крайне привлекательным

Остановить P2P-ботнет сложно, но не невозможно

Этот пример показал, что, несмотря на устойчивость P2P-архитектуры ботнета ZeroAccess, специалистам Symantec все же удалось отключить большую часть его ботов. Это означает, что эти боты больше не смогут получать команды от ботмастера, обновляться, а также осуществлять ту или иную вредоносную деятельность.

Сейчас Symantec работает вместе с интернет-провайдерами и группами реагирования по всему миру, для того чтобы распространять эту информацию и работать над очисткой заражённых компьютеров.

17 октября 2013

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Толщина смартфона Sony Xperia XZ1 Compact составит почти 10 мм: Появилось видео со смартфоном Sony Xperia XZ1 Compact 27

Intel планирует выпуск набора системной логики B360: Набор системной логики Intel B360 будет представлен в 2018 году7

Ericsson уволит около 25 000 человек: Ericsson сократит почти четверть своего штата сотрудников13

Смартфон Asus ZenFone 4 Max Pro выделяется сдвоенной камерой и ёмким аккумулятором: Asus наделила ZenFone 4 Max Pro сдвоенной камерой10

Смартфоны Asus ZenFone 4 Selfie и ZenFone 4 Selfie Pro получили сдвоенные фронтальные камеры: Asus представила смартфоны ZenFone 4 Selfie и ZenFone 4 Selfie Pro1

Представлены смартфоны Asus ZenFone 4 и ZenFone 4 Pro : Asus представила семейство смартфонов ZenFone 47

Представлен смартфон Nokia 8: Оснащение Nokia 8 включает сдвоенную камеру с объективами Zeiss32

AMD выпустила драйвер, оптимизированный для добычи криптовалют : AMD поддержала майнеров специальным драйвером 24

Названа дата начала продаж и цена объектива Zeiss Milvus 1.4/35: Объектив Zeiss Milvus 1.4/35 выпускается в вариантах ZE и ZF.24

В корпусных вентиляторах Scythe Kaze Flex 120 применены подшипники Sealed Precision FDB: Вентиляторы Scythe Kaze Flex 120 оценены в 8 евро3

Умные часы Apple Watch 3 не получат совместимости с Android и возможности автономно совершать звонки : Умные часы Apple Watch 3 нельзя будет использовать с Android15

Цена компьютерного корпуса Phanteks Enthoo Evolv ITX Tempered Glass Edition зависит от его цвета: Боковая стенка компьютерного корпуса Phanteks Enthoo Evolv ITX Tempered Glass Edition изготовлена из закаленного стекла

Intel раскрыла параметры процессоров Core восьмого поколения на закрытой презентации: CPU Intel Core i7-8700 будет иметь TDP 65 Вт20

Почти все основные бесфабричные разработчики микросхем в прошлом квартале показали рост выручки: Лидером среди бесфабричных разработчиков ИС стала Broadcom Limited1

Анонсированы продажи объектива Voigtlander Ultron 40mm F2 SL IIS Aspherical: Цена объектива Voigtlander Ultron 40mm F2 SL IIS Aspherical примерно равна $5453

Sharp готовит ещё один безрамочный смартфон, который возродит идеи модели Aquos Crystal: Новый безрамочный смартфон Sharp не получит экран Free Form Display14

Цены на твердотельные накопители выросли на 20% с начала текущего года: Цены на SSD продолжают расти20

Опубликованы официальные изображения смартфона LG V30 и сравнение с предшественниками: Смартфон будет представлен в конце месяца13

Motorola запатентовала экран для смартфонов, который сможет восстанавливаться от трещин: Возможно, полимерное покрытие дисплея будет восприниматься на ощупь не так комфортно, как привычное стекло11

Ford запатентовала съемные педали и руль для своих будущих автомобилей: Стоит отметить, что пока что это только патент14

Безрамочный смартфон Umidigi S2 Pro получит 6 ГБ ОЗУ и аккумулятор емкостью 5100 мА•ч: Umidigi утверждает, что это первый безрамочный смартфон с таким высоким показателем автономности5

Финансовые показатели Cisco снизились: Cisco отчиталась за 2017 финансовый год11

Polaroid представила смартфоны Cosmo K и K Plus, а также планшет Jet C7: Цены не сообщаются2

Продажи смартфонов в Индии в прошлом квартале выросли всего на 1,6% : Лидером рынка Индии продолжает оставаться Samsung4

Масштабное отключение электричества на Тайване не отразилось на производстве новых смартфонов iPhone: Отключение света ощутили жители около 7 млн домов16

В США отзывают аккумуляторы для смартфонов Samsung Galaxy Note 4 из-за риска возгорания: Основанием для начала отзывной кампании послужил всего один случай перегрева, в ходе которого никто не пострадал59

По слухам, умные часы Apple Watch Series 3 поступят в продажу в сентябре: Аналитики уверены, что Apple Watch Series 3 с модемом LTE будут пользоваться большим спросом2

Опубликованы шпионские фото телевизора Apple [Обновлено]: По еще одной версии, это может быть не телевизор, а профессиональный монитор для пользователей Mac13

Анонс Xiaomi Redmi Note 5A намечен на 21 августа: На официальном изображении устройства, которое опубликовали в Weibo, мы видим доступные цветовые варианты1

В мониторе ViewSonic VP2785-4K установлена 27-дюймовая панель 4К типа IPS: Рекомендованная цена ViewSonic VP2785-4K — $120012

Компания Jawbone Health Hub собиралась сотрудничать с Microsoft, чтобы заполучить её корпоративных клиентов : Стали известны планы компании Jawbone Health Hub

29 августа MediaTek представит однокристальные системы Helio P23 и Helio P30 : SoC Helio P23 и Helio P30 анонсируют через две недели2

Galax Graphics Card Power Board — внешняя плата для экстремального разгона видеокарт, оснащённая 16-фазной подсистемой питания: Galax представила плату Graphics Card Power Board и стакан для жидкого азота5

Здравоохранение станет основным фактором роста рынка носимой электроники в ближайшем будущем: Рынок носимой электроники будет расти за счёт медицинских возможностей2

ВИКТОРИНА ASUSTOR

Процессор с какой архитектурой установлен в ASUSTOR AS6302T, благодаря которому производительно выросла на 30% по сравнению с прошлым поколением?
1318

iXBT TV

  • Обзор кинотеатрального DLP-проектора BenQ W11000 с эмуляцией разрешения 4К

  • AMD Ryzen Threadripper 1920Х и 1950X — тестирование 12-ядерного и 16-ядерного процессоров

  • Обзор мини-ПК ECS Liva Z на базе процессора Apollo Lake

  • Самый лучший процессор, неудачи Microsoft, гибкие наушники Samsung

  • Обзор цветного МФУ Xerox VersaLink C405 для малых и средних офисов

  • Обзор умного чайника Redmond SkyKettle RK-G200S с подсветкой и нагревом воды до нужной температуры

  • Конфигурируем мини-ПК: изучаем влияние памяти и накопителя на быстродействие системы

  • 3D-карты AMD Radeon RX Vega, цены, спецификации, смартфон Meizu Pro 7

  • Обзор лазерного цветного МФУ Canon imageRunner Advance C3520i, младшего в новой линейке

  • Обзор робота-пылесоса iBoto Aqua V710 с функцией влажной уборки

  • Обзор электрической скороварки Unit USP-1090D: готовим под давлением

  • Обзор материнской платы Gigabyte GA-Z270-Gaming K3 c возможностью подъема напряжения на USB-портах

1212

Календарь

октябрь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать