Symantec провела операцию по захвату одного из крупнейших ботнетов

1174
Symantec Logo

Корпорация Symantec представляет информацию об одном из крупнейших современных ботнетов – ZeroAccess. Его высокая устойчивость к средствам защиты базируется, прежде всего, на использовании пиринговых сетей. Специалисты компании Symantec провели лабораторные исследования, в ходе которых были определены принципы «общения» ZeroAccess-ботов друг с другом и найден способ обезвреживания бот-сети. Эксперты также оценили соотношение потенциальной прибыльности такого ботнета и затрат на его содержание – расходов на электроэнергию.

ZeroAccess – один из крупнейших действующих ботнетов, по данным Symantec в августе 2013 года в каждый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн заражённых компьютеров.

Ключевая особенность ботнета ZeroAccess – использование peer-to-peer (P2P) сетей для передачи команд управления и программных обновлений. И поскольку в данной архитектуре взаимодействия центрального сервера управления не существует, нейтрализовать ботнет простым отключением нескольких серверов злоумышленников невозможно. После заражения вирусом ZeroAccess компьютер первым делом подключается к ближайшим компьютерам-пирам своей сети для обмена информацией о других таких же компьютерах. Таким образом, боты получают информацию друг о друге, что позволяет им в дальнейшем быстро и эффективно распространять команды управления и файлы.

Другой отличительной особенностью ботнета ZeroAccess является поддержание постоянного взаимодействия между ботами своей сети. Каждый бот постоянно поддерживает соединение с другими ботами с целью обмена пир-листами и программными обновлениями, что делает угрозу крайне устойчивой к попыткам её нейтрализации.

Перехват ботнета

Ещё в марте этого года инженеры компании Symantec начали изучать принципы взаимодействия ZeroAccess-ботов друг с другом для того, чтобы понять, как использовать технику синкхолинга (sinkholing) для его обезвреживания. В ходе исследования была выявлена уязвимость ботнета, которая позволяла, хоть и с большим трудом, осуществить синкхолинг. Эксперты провели дальнейшие испытания в лаборатории и нашли действенный способ выведения пиров из-под контроля ботмастера. Одновременно продолжалось наблюдение за активностью ботнета, и 29 июня специалисты Symantec обнаружили, что через P2P-сеть идёт распространение новой версии ZeroAccess. Обновлённая версия содержала ряд изменений, главное из которых заключалось в устранении уязвимости, делавшей возможным синкхолинг ботнета. Данная уязвимость ZeroAccess обсуждалась исследователями в отчёте, опубликованном в мае 2013 г., и именно это могло стать причиной обновления ботнета.

Итак, наблюдая за распространением обновления и уже имея на руках рабочий план, эксперты Symantec встали перед выбором: начать операцию прямо сейчас или подвергнуться риску навсегда упустить этот шанс. 16 июля специалисты компании начали операцию по захвату контроля над ботнетом, в результате которой очень быстро из-под контроля было выведено более полумиллиона ботов, что серьёзно отразилось на работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после 5 минут P2P-активности. Чтобы в полной мере понять последствия этой операции, нужно рассмотреть цели использования ботнета.

ZeroAccess как служба доставки

Судя по структуре и поведению, ботнет ZeroAccess в первую очередь предназначен для доставки модулей «полезной нагрузки» на заражённые компьютеры, которые направлены на получение прибыли и делятся на два основных типа.

  • Click fraud

    Первый тип – троянец, загружающий на компьютер интернет-рекламу и сам же осуществляющий переход по рекламным ссылкам как обычный легитимный пользователь, зарабатывая таким образом деньги в партнёрских программах типа pay-per-click (платить за клик, PPC).

  • Bitcoin mining

    Второй тип – “Bitcoin mining”. Виртуальная валюта представляет для злоумышленников особый интерес. Каждая виртуальная монета зарабатывается за счёт выполнения компьютером ряда математических операций. Такой способ приносит ботмастеру прямую прибыль и обходится жертве в немалые суммы денег. Эксперты Symantec изучили финансовые аспекты и результаты такого метода, использовав для этого устаревшее оборудование в лаборатории компании.

Финансовые аспекты использования ZeroAccess

Специалисты Symantec взяли старое оборудование, которое нашли в офисе, и с его помощью изучили энергозатраты и финансовую выгоду использования подобных схем, при этом рассмотрели и “Bitcoin mining”, и “Click fraud”, уделив наибольшее внимание первому варианту как более энергозатратному и приносящему прямую прибыль ботмастеру. Сотрудники Symantec заразили троянцем ZeroAccess тестовый компьютер и перевели его в режим “Bitcoin mining”, помимо этого в распоряжении специалистов был также незаражённый компьютер, работающий в режиме ожидания. Оба компьютера были подключены к ваттметрам для измерения уровня потребления энергии обеими системами. Сотрудники Symantec получили очень любопытные результаты:

Конфигурация тестового компьютера:

  • Модель: Dell OptiPlex GX620 Pentium D 945 3,4 ГГц 2 ГБ ОЗУ (Максимальное значение TDP – 95 Вт)
  • Расход электроэнергии в час в режиме “Bitcoin mining”: 136,25 Вт
  • Расход электроэнергии в час в режиме ожидания: 60,41 Вт
  • Скорость работы системы: 1,5 MHash/S

Примерные параметры “Bitcoin mining”:

  • Курс обмена Bitcoin/доллар США: 131
  • Параметр «сложности» Bitcoin: 86933017,7712

ZeroAccess

Bitcoin mining

“Bitcoin mining” на такой системе оказался бы крайне неуспешным занятием: за год непрерывной работы был бы заработан всего 41 цент! Но если в вашем распоряжении находится 1,9 млн. ботов, то ситуация кардинально меняется. Такой ботнет способен приносить ботмастеру тысячи долларов в день. Конечно, не каждый компьютер будет доступен всё время, кроме того, у каждого компьютера в ботнете свой режим работы, свой уровень производительности и загрузки, поэтому это всего лишь приблизительные данные. В своих расчётах специалисты Symantec предположили, что все боты сети работают 24 часа в сутки и их производительность идентична производительности тестовой системы.

Click fraud

Боты в режиме “Click Fraud” также достаточно активны. В испытаниях экспертов Symantec каждый бот использовал примерно 257МБ интернет-трафика в час, или 6.1ГБ в день, совершая около 42 переходов по рекламным ссылкам в час (1008 в день). И хотя каждый клик может приносить лишь долю цента, учитывая огромные размеры ботнета, злоумышленник может зарабатывать десятки миллионов долларов в год.

Теперь, после того как стала понятной возможная прибыльность этой деятельности, следует рассмотреть стоимость содержания такого ботнета с точки зрения расходов на электроэнергию.

Энергозатраты

Для того чтобы оценить, во что ZeroAccess обходится ни о чем не подозревающим жертвам, сотрудники Symantec высчитали разницу в энергетических затратах между режимом ожидания и режимом “Bitcoin mining”. В испытаниях Symantec разница составила 1,82 КВт⋅ч в день, что для отдельно взятой жертвы не выглядит слишком затратно.

  • Расход электроэнергии в режиме “Bitcoin mining”: (136.25/1000)*24 = 3.27 КВт⋅ч в день
  • Расход электроэнергии в режиме ожидания: (60.41/1000)*24 = 1.45 КВт⋅ч в день
  • Разница: 1.82 КВт⋅ч в день

Эти цифры дают представление о влиянии ZeroAccess на отдельно взятый компьютер, и можно представить стоимость и последствия деятельности ботнета, который насчитывает 1,9 млн. подобных систем.

Если 1 КВт⋅ч стоит $0.162, то 24 часа режима “Bitcoin mining” одним ботом обходятся в $0.29. Но если умножить эту цифру на 1.9 млн., то мы видим расход электроэнергии в 3458000 КВт⋅ч (3458 МВт⋅ч достаточно для того, чтобы целый день освещать 111000 домов). Такое количество энергии эквивалентно $560887 в день и значительно превышает выработку крупнейшей электростанции в штате Калифорния – Мосс-Лендинг, которая производит 2484 МВт. При этом количество виртуальных монет будет эквивалентно $2165! При таком раскладе, если за электричество платят злоумышленники, “Bitcoin mining” оказывается экономически нецелесообразным предприятием. Однако, если он осуществляется за счёт других, это в корне меняет картину и делает такое предприятие крайне привлекательным

Остановить P2P-ботнет сложно, но не невозможно

Этот пример показал, что, несмотря на устойчивость P2P-архитектуры ботнета ZeroAccess, специалистам Symantec все же удалось отключить большую часть его ботов. Это означает, что эти боты больше не смогут получать команды от ботмастера, обновляться, а также осуществлять ту или иную вредоносную деятельность.

Сейчас Symantec работает вместе с интернет-провайдерами и группами реагирования по всему миру, для того чтобы распространять эту информацию и работать над очисткой заражённых компьютеров.

17 октября 2013 Г.

08:00

Ctrl
ПредыдущаяСледующая

Все новости за сегодня

Представлены компьютерные корпуса NZXT H700i, H400i и H200i : В корпуса NZXT H700i, H400i и H200i встроен цифровой контроллер вентиляторов и подсветки3

До конца года Intel выпустит «первую в отрасли микросхему для обработки нейронных сетей» — Intel Nervana Neural Network Processor: Intel Nervana Neural Network Processor — новое имя семейства ускорителей Lake Crest11

Nanya вернется на рынок серверной памяти DRAM: В текущем квартале должен начаться серийный выпуск 20-нанометровых микросхем DDR4 плотностью 8 Гбит

ПО Geekbench указывает на наличие в смартфоне Xiaomi Redmi Note 5 старой платформы Qualcomm, но результаты тестов этому не соответствуют: Xiaomi Redmi Note 5 появился в базе Geekbench4

Представлен объектив Zeiss Milvus 1.4/25 : Объектив Zeiss Milvus 1.4/25 оценен производителем в 2399 евро11

Всего за один день рыночная стоимость IBM выросла на 12,6 млрд долларов: Акции IBM, с начала года подешевевшие на 12%, показали крупнейший за последние годы рост11

Новые блоки питания Cooler Master MasterWatt характеризуются мощностью от 450 до 750 Вт: Cooler Master обновила семейство БП MasterWatt1

Панели для планшетов дешевеют: Наблюдатели ожидают, что панели для планшетов будут дешеветь в течение всего квартала5

Nanya нарастила чистую прибыль более чем в шесть раз: Nanya отчиталась за третий квартал 2017 года1

Google подтверждает, что ОС Android 8.1 Oreo выйдет в ближайшие недели: Обновление активизирует процессор обработки изображений Pixel Visual Core45

В Нидерландах открыли первый в мире мост, созданный посредством 3D-печати: Первый в мире напечатанный мост появился в Голландии3

Microsoft возродила легендарную мышку IntelliMouse Explorer 3.0 в виде модели Classic Intellimouse: Microsoft Classic Intellimouse является современной копией мышки IntelliMouse Explorer 3.013

Видео дня: первый в мире бой огромных управляемых человекоподобных роботов : Роботы Megabots и Suidobashi выяснили отношения в бою18

Для Cree минувший квартал оказался убыточным: Известный производитель светодиодов опубликовал отчет за первый квартал 2018 финансового года1

Представлен объектив Leica Thambar-M 90mm f/2.2, назван срок начала продаж и цена: Полнокадровый объектив с ручной фокусировкой является современным вариантом модели 1935 года19

Смартфон Oppo F5 получил сдвоенную фронтальную камеру разрешением 12 Мп: Работает Oppo F5 под управлением Android 7 Nougat с оболочкой ColorOS 3.1

Samsung готова к производству полупроводниковой продукции по восьминанометровой технологии: Технология FinFET 8LLP прошла квалификацию Samsung29

Обозреватели разочарованы шестидюймовым смартфонным дисплеем P-OLED производства LG: У LG пока не получается выпускать качественные панели OLED для смартфонов53

HP ZBook x2 — недешевый планшет с экраном разрешением 4K, GPU Nvidia и CPU Core i7 для профессионалов : HP ZBook x2 в базовом исполнении оценен в $175022

Ноутбуки с SoC Snapdragon 835 и Windows 10 удивят временем работы без подзарядки: «Сказать по правде, мы не ожидали», — заявил Пит Бернард (Pete Bernard) из Microsoft.44

Глава Qualcomm уверен, что они с Apple смогут уладить свой конфликт : Затянувшийся спор с Apple является скорее аномалией, исключением из правил2

Samsung Galaxy S7 опередил iPhone 8 в свежем рейтинге Consumer Reports: Смартфоны Samsung Galaxy S8 и S8+ снова оказались лидерами рейтинга Consumer Reports59

Пользовательская база Samsung Pay на родине сервиса выросла вдвое за год: Пару месяцев назад Samsung Pay отметил два года с момента основания1

Isuzu заимствует компоновку кузова грузовика у пчелиных сот: Разделение грузового отсека на соты позволяет эффективно использовать пространство 17

Завтра должен быть представлен смартфон Nokia 7: Как доказала Google, вовсе не обязательно использовать два модуля, чтобы сделать флагманскую камеру1

Qualcomm успешно испытала модем Snapdragon X50 5G : Qualcomm также показала первый референсный дизайн смартфонов, которые используются для тестирования и оптимизации технологии 5G16

IBM снова отчиталась о снижении выручки, но на сей раз всего на 0,5%: IBM отчиталась за третий квартал 2017 года

Все больше владельцев машин считают Android Auto и Apple CarPlay обязательными системами : В опросе приняли участие 1503 американцев, 1607 европейцев и 2003 китайца4

Системные платы с набором логики Intel Z270 всё-таки могут работать с CPU Coffee Lake. Но не будут: Причина несовместимости старых плат с новыми CPU Intel всё-таки кроется в маркетинге 36

В ноябре Samsung ждут большие перестановки в руководящем составе: Речь идет о ключевых лицах, Samsung Electronics, Samsung SDI, Samsung Electro-Mechanics, Samsung Life Insurance и Samsung Securities40

Оснащенный четырьмя камерами смартфон Huawei Mate 10 Lite уже доступен для заказа в Европе: Huawei Mate 10 Lite построен на SoC Kirin 659 и оснащен экраном диагональю 5,9 дюйма

Выпущено 90 млн камер Canon EOS и 130 миллионов объективов Canon EF: Производитель заверил, что и впредь намерен развивать семейство камер EOS и объективов EF12

Samsung готовит ещё одну модель линейки Galaxy J2: Очередной аппарат линейки Galaxy J2 получит дисплей низкого разрешения1

Razer обновила ноутбук Blade Stealth, оснастив его CPU Intel Core i7-8550U: Док-станция Razer Core v2 мало отличается от первой версии4

Основными для экранов безрамочных смартфонов являются разрешения FHD+ и HD+: Переход к безрамочным экранам совпал с переходом к соотношению сторон 18:9

Antec P110 Luce — компьютерный корпус в минималистском исполнении за 120 евро: Antec P110 Luce поддерживает возможность вертикальной установки видеокарты4

Материнская плата ASRock X299E-ITX/ac для процессоров Intel в исполнении LGA 2066 представлена официально: ASRock X299E-ITX/ac оценена в $4003

В серию твердотельных накопителей Samsung 860 Evo войдут модели объемом до 4 ТБ: Твердотельные накопители Samsung 860 Evo замечены в базе данных SATA-IO33

Казахстан запустит платформу Stasis с первой криптовалютой, обеспеченной реальными деньгами: Stasis — финансово-технологическая инфраструктура для запуска нового цифрового актива10

Тестирование мобильных APU Ryzen показывает, что они вполне могут составить конкуренцию CPU Intel поколения Kaby Lake Refresh: APU Ryzen 7 2700U сравнили с CPU Core i7-8550U38

997
1318

iXBT TV

  • Обзор беззеркальной фотокамеры Fujifilm X-A10 формата APS-C со сменными объективами

  • Планшеты для подводного чтения, дешевый безрамочный смартфон и автономная VR-гарнитура

  • Обзор 3D-принтера Funtastique Evo: дешевая, но вполне функциональная DIY-модель

  • Обзор робота-пылесоса Polaris PVCR 0920WV Rufer с функцией влажной протирки полов

  • Новинки Google на любой вкус: Pixel 2, Pixel 2 XL, Pixelbook, Clip, Home Mini и Max

  • Обзор водонепроницаемого бинокля Canon 10x42L IS WP с оптическим стабилизатором

  • Обзор компактного вертикального пылесоса Kitfort КТ-525

  • Обзор 15-дюймового игрового ноутбука MSI GE63VR 7RF Raider 4K с 4K-экраном

  • Ракета вместо самолета, умные AC Amazon, робот-мяч

  • Обзор парогенератора MIE Stiro Pro для глажки, отпаривания и уборки дома

  • Обзор изогнутого 37,5-дюймового IPS-монитора Acer XR382CQK с соотношением сторон 21:9

  • Обзор робота-полотера Everybot RS500

1212

Календарь

октябрь
Пн
Вт
Ср
Чт
Пт
Сб
Вс

Рекомендуем почитать