Ботнеты атакуют

1. Экспансия зомби

Хакеру нужны считанные минуты для того, чтобы найти в сети Интернет незащищенный, а значит, уязвимый компьютер, взломать, загрузить в него и запустить специальную программу, которая позволит получить над ним удаленный контроль и превратит его в послушного электронного зомби. Армии подобных компьютеров-зомби (или ботнеты) используются при сетевых атаках на другие компьютеры и целые сети. И пока владельцы компьютеров ломают голову над тем, как защитить железного друга, локальную или корпоративную сеть, хозяева ботнетов спокойно торгуют своими армиями, постоянно набирая новых "солдат" взамен выбывших. Эта угроза вполне реальна, и она постоянно растет. Каждый день в компьютерных сетях мира насчитывается от 3 до 3,5 миллионов таких зомби-компьютеров — это в три раза больше, чем потребовалось бы для полной блокировки работы всей сети розничной торговли такой страны, как США. И каждый день инфицируется до 250.000 компьютеров, которые превращаются в новых зомби. По статистике в Интернете постоянно зараженными каким-либо видом вируса являются около 7% компьютеров — это около 47 млн из 681 млн подключенных к Сети компьютеров по всему миру. По данным антивирусной компании McAfee, в 2005 году в сети Интернет была зафиксирована деятельность 28 тысяч ботнетов — втрое больше, чем в 2004. Потери только американских компаний от преступлений в компьютерной сфере составили $197 млрд. Давайте рассмотрим, как создаются, управляются и функционируют боты и ботнеты, а также какие средства существуют для защиты от них.

В компьютерную сеть Аубурнского университета (штат Алабама) вредоносная программа проникла через один из компьютеров с обыкновенным письмом, пришедшим по электронной почте. Это случилось относительно теплым сентябрьским днем 2004 года. За развитием событий и всем, что происходило в это время с университетской компьютерной сетью, наблюдал администратор Марк Уилсон. Письмо, полученное одним из студентов, который, ничего не подозревая, просматривал свой почтовый ящик в одной из лабораторий университета, содержало ссылку на какой-то сайт и приглашение его посетить. Хотя получателю и не был знаком отправитель письма, он послушно подвел курсор мыши к ссылке и нажал кнопку. Он не знал, что простой щелчок по гиперссылке инициировал загрузку на компьютер вредоносного кода, а поспособствовала в этом одна из уже известных на то время уязвимостей ОС Windows. Это не был простой троян или червь, а некий программный вредоносный гибрид, обладающий огромным потенциалом для атаки. Он должен был позволить хакеру получить полный контроль над инфицированным компьютером, превратить его в послушного командам робота, или бота. Хозяин — создатель вируса — может дать любой приказ такому послушному электронному рабу: рассылать спам, похитить информацию или, что наиболее важно, помочь превратить все другие компьютеры университетской сети, в системе безопасности которых имеется такая же брешь, в подобных себе покорных зомби. Как только один из компьютеров в границах корпоративной сети превращался в послушного командам зомби, его новый хозяин получал возможность контроля над всем установленным на этом компьютере программным обеспечением. Он мог устанавливать и новое ПО — например, программу-кейлоггер, которая перехватывает всю информацию, вводимую с клавиатуры компьютера включая пароли доступа к различным сетевым, финансовым и корпоративным ресурсам и сервисам. Хозяин бота (назовем его ботмастер) может копировать любые файлы, манипулировать пользовательскими данными, изменять и даже удалять их с инфицированной машины. Уловка сработала — все произошло по сценарию и задумке хакера. Один щелчок мыши — и вся университетская сеть Аубурна подобно многим другим компьютерным сетям учебных и государственных учреждений, коммерческих компаний стала очередной жертвой одной из самых серьезных угроз киберпространства XXI века — бот-атаки. Практически в одно мгновение вся сеть университета со всеми ее компьютерами стала открытой и послушной воле хакеров. Вирус использовал дыру в одной из стандартных служб операционной системы Windows — LSASS (Local Security Authority Subsystem Service), которая ведает авторизацией пользователей в системе Windows 2000 и Windows XP. Хотя компания Microsoft и выпустила соответствующий патч за 5 месяцев до случившегося, не на все университетские компьютеры он был установлен. Это неудивительно, так как университет Аубурна — относительно крупное учебное заведение, в котором обучается порядка 23 тысяч студентов. Конечно, это не единственная организация, компьютерная сеть которой была превращена в ботнет.

Хотя более 50% бот-атак исходят от зараженных домашних компьютеров, не менее 40% принадлежат корпоративным сетям больших и средних компаний. В списке пострадавших уже находятся такие крупные компании, как Caterpillar, CNN, eBay и Microsoft. И угроза распространения ботнетов постоянно растет. Количество новых штаммов (разновидностей) бот-вирусов только за 2005 год увеличилось на 538%. Боты и ботнеты могут исчезнуть после того, как владельцы зараженных компьютеров избавятся от вредоносных программ, переустановят и обновят ПО для повышения уровня безопасности своих ПК, залатают дыры и уязвимости при помощи всех доступных на текущее время патчей. Но очень скоро их место займут новые боты, где найдут другие лазейки и уязвимости ОС Windows, для которых еще не созданы патчи и исправления.

Продолжение следует

Екатерина Грень


Компьютерная газета. Статья была опубликована в номере 21 за 2006 год в рубрике безопасность

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE