Современные методы борьбы с ботнетами

Бешков АндрейРуководитель программы ИТ безопасностиMicrosoft Россия http://beshkov.ru http://twitter.com/abeshkov abeshkov@microsoft.com

Содержание

10 самых распространенных семейств зловредного ПО Что такое ботнеты и как в них попасть? Архитектура ботнета WaledacОпыт борьбы Microsoft с ботнетами

Откуда данные о зловредах?

Данные о зловредном ПО были собраны с 600 миллионов компьютеров обслуживаемых средствами безопасности Microsoft такими как:

• Malicious Software Removal Tool• Microsoft Security Essentials• Windows Defender• Microsoft Forefront Client Security• Windows Live OneCare • Windows Live OneCare safety scanner

http://www.microsoft.com/security/sir/

TOP 10 семейств злонамеренного ПО

  Семейство Категория 1 кв 2010 2 кв 2010 3 кв 2010 4 кв 2010

1 Pornpop Adware — — 2,660,061 3,860,365

2 Autorun Worms1,256,64

91,646,532 2,805,585 3,314,092

3 Taterf Worms1,496,78

02,323,750 2,338,517 1,615,649

4 ZwangiMisc. Potentially Unwanted Software

542,534 860,747 1,638,398 2,299,210

5 RenosTrojan Downloaders & Droppers

2,693,093

1,889,680 2,109,631 1,655,865

6 Rimecud Worms1,809,23

11,749,708 1,674,975 1,892,919

7 Conficker Worms1,498,25

61,664,941 1,649,934 1,744,986

8 FakeSpypro Miscellaneous Trojans1,244,90

31,424,152 1,897,420 889,277

9 Hotbar Adware1,015,65

91,483,289 942,281 1,640,238

10 ClickPotato Adware — — 451,660 2,110,117http://www.microsoft.com/security/sir/

Win32/Taterf и Win32/Frethog

Семейство Категория 1Q10 2Q10Годовой график

Win32/Taterf Worms 1,495,2862,320,95

3

Win32/FrethogPassword Stealers & Monitoring Tools

2,010,9891,997,66

9

Крадет логины MMORGS игр. Lineage и.т.д

Распространяется через папки общего доступа.

Приносит с собой Frethog крадуший остальные пароли.

Устанавливается с разрешения пользователя

Win32/RenosСемейство Категория 1Q10 2Q10

Годовой график

Win32/Renos Trojan Downloaders & Droppers 2,691,9871,888,33

9

Запугивает пользователя сообщениями о несуществующем заражении ОС.

Устанавливает в систему:SpySheriff, SpyAxe, SpyFalcon, SpyDawn, SpywareStrike

Устанавливается с разрешения пользователя.

Win32/FakeSpyproСемейство Категория 1Q10 2Q10

Годовой график

Win32/FakeSpypro

Miscellaneous Trojans 1,244,3531,423,52

8

Поддельный антивирус. Заражает систему с позволения пользователя.

Запугивает и заставляет покупать поддельное ПО для лечения.

Win32/AlureonСемейство Категория 1Q10 2Q10

Годовой график

Win32/Alureon Miscellaneous Trojans 1,463,8851,035,07

9

Перед просмотром видео предлагает пользователю поставить кодеки или драйвера для проигрывания видео.

Кто же от такого откажется? Бесплатно!

Может вызывать BSOD при последующих обновлениях системы

Win32/ZwangiСемейство Категория 1Q10 2Q10

Годовой график

Win32/ZwangiMisc. Potentially Unwanted Software

542,011 859,801

Предлагает скачать и установить бесплатный скринсейвер.

Устанавливается с разрешения пользователя.

Win32/ConfickerСемейство Категория 1Q10 2Q10

Годовой график

Win32/Conficker Worms 1,496,8771,663,34

9

Единственный червь использующий для распространения 3 уязвимости в Windows. В пике эпидемии доходил до 6,5 млн зараженных хостов.

Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии!Более 90% клиентов обновилось в течении первой недели. Заразились те, кто не установили обновление в течении трех месяцев.

Новые социальные атакиПоддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google за счет рекламы. Заблокирован IE9 SmartScreen Filter

Атаки на альтернативные браузеры

Атаки Drive-By Download

2. IFrame секретно загружает

другую страницу

3. Страница перенаправляет

на другую страницу с эксплоитом

4. Если эксплоит сработал,

скачивается зловред и

заражает жертву

Пользователь Взломанный или злонамереный сайт

Перенаправление Сервер с эксплоитомСервер с вредоносом

1. Пользователь с уязвимой

системой посещаетстраницу с невидимым

IFrame

Уязвимости для Drive-By Download

Тестировалось на 500000 машин с известными уязвимостями. Результативность заражения 31%

37% - Java JRE32% - Adobe Reader и Acrobat16% - Adobe Flash. 10% - Internet Explorer 3% - Apple QuickTime2% - Центр справки и поддержки Windows

Исследование CSIShttp://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/

Windows 7 заражается в 5 раз меньше!

Обнаружение зловредного ПО на каждую 1000 запусков антивирусных средств.

Avast подсчитала статистику заражения руткитами:

74% - Windows XP 17% - Windows Vista12% - Windows 7

Почему Windows 7 в 5 раз реже заражается?

Win7

    SEHOP SEHOP

  Включено по умолчанию 

Heap terminate

Heap terminate

  Выключено по умолчанию DEP DEP

    ASLR ASLR

Vista SP1, SP2

  SEHOP SEHOP SEHOP

  Heap terminate

Heap terminate

Heap terminate

  DEP DEP DEP  ASLR ASLR ASLR

Vista RTM

  SEHOP SEHOP

  Heap terminate

Heap terminate

  DEP DEP   ASLR ASLR

XP SP3

SEHOP SEHOP SEHOP  Heap terminate

Heap terminate

Heap terminate  

DEP DEP DEP  ASLR ASLR ASLR  

XP SP2

SEHOP SEHOP SEHOP  Heap terminate

Heap terminate

Heap terminate  

DEP DEP DEP  ASLR ASLR ASLR  

IE 6 IE 7 IE 8 IE 9

Windows XP Windows Vista Windows 70

10

20

30

40

50

60

70

Критические уязвимости через год после выпуска

Технологическая или социальная проблема?9 из 10 самых распространенных злонамеренных приложений устанавливаются в систему с согласия пользователя!

По версии AVG Technologies заражение с применением социальной инженерии происходит в 4 раза чаще чем с помощью уязвимостей в ОС и приложениях любого производителя.

http://www.virusbtn.com/conference/vb2010/abstracts/Hughes.xml

Как защищаться?

Обучать пользователей защите от социальной

инженерии.

Smart Screen в Internet Explorer

защищает от 99% социальных атак.

Обновлять системы и приложения.

Большинство атак выполняется с

использованием старых уязвимостей

Enhanced Mitigation Experience Toolkit (EMET) v2.0

Фильтрация трафика известных эксплоитов – Forefront

TMG

Как защищаться?Работа в системе с правами обычного пользователя предотвращает атаки на:

75% - критических уязвимостей Windows 7100% - уязвимостей Microsoft Office опубликованных в 2010 г.100% - уязвимостей Internet Explorer опубликованных за 2010 г.64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г.

Исследование BeyondTrust за 2010 гhttp://www.net-security.org/secworld.php?id=10886

Ботнеты

Топ 25 ботнетов  Family

Primary Control Mechanism

Computers Cleaned (1Q10)

Computers Cleaned (2Q10)

Change

1 Win32/Rimecud Other 1,807,773 1,748,260 -3.3% ▼2 Win32/Alureon HTTP 1,463,885 1,035,079 -29.3% ▼3 Win32/Hamweq IRC 1,117,380 779,731 -30.2% ▼4 Win32/Pushbot IRC 474,761 589,248 24.1% ▲5 Win32/IRCbot IRC 597,654 388,749 -35.0% ▼6 Win32/Koobface HTTP 222,041 383,633 72.8% ▲7 Win32/FlyAgent HTTP 221,613 293,432 32.4% ▲8 Win32/Virut IRC 227,272 284,519 25.2% ▲9 AutoIt/Renocide IRC 167,041 178,816 7.0% ▲

10 Win32/Hupigon Other 178,706 177,280 -0.8% ▼11 Win32/Sdbot IRC 125,466 146,922 17.1% ▲12 Win32/Nuwar P2P 8,098 133,951 1554.1% ▲13 Win32/Bubnix HTTP 91,144 132,771 45.7% ▲14 Win32/Zbot HTTP 107,363 131,078 22.1% ▲15 Win32/Ursap IRC 121,239 121,302 0.1% ▲16 Win32/Rbot IRC 145,107 110,316 -24.0% ▼17 Win32/Pasur Other 95,040 91,612 -3.6% ▼18 Win32/Rustock HTTP 82,712 52,312 -36.8% ▼19 Win32/Slenfbot IRC 56,898 51,228 -10.0% ▼20 Win32/Bagle Other 48,326 34,240 -29.1% ▼21 Win32/Tofsee HTTP 29,367 32,031 9.1% ▲22 Win32/Bifrose Other 28,966 30,466 5.2% ▲23 Win32/Waledac P2P 83,580 29,816 -64.3% ▼24 Win32/Prorat Other 26,913 25,726 -4.4% ▼25 Win32/Trenk Other 24,093 21,749 -9.7% ▼

Распределение ботнетов по странам  

Country/RegionComputers with Bot

Cleanings (1Q10)

Computers with Bot Cleanings

(2Q10)

Bot Cleanings Per 1000 MSRT Executions (Bot

CCM)1 United States 2,163,216 2,148,169 5.22 Brazil 511,002 550,426 5.23 Spain 485,603 381,948 12.44 Korea 422,663 354,906 14.65 Mexico 364,554 331,434 11.46 France 344,743 271,478 4.07 United Kingdom 251,406 243,817 2.78 China 227,470 230,037 1.09 Russia 181,341 199,229 4.310

Germany 200,016 156,975 1.4

11

Italy 191,588 130,888 2.6

12

Turkey 91,262 98,411 4.7

13

Canada 96,834 87,379 1.4

14

Netherlands 115,349 77,466 2.5

15

Colombia 76,610 71,493 5.8

16

Portugal 83,379 68,903 5.7

17

Australia 72,903 66,576 2.8

18

Poland 87,926 62,704 3.9

19

Taiwan 52,915 54,347 3.4

20

Japan 63,202 52,827 0.6

21

Argentina 38,229 43,162 3.8

22

Saudi Arabia 33,283 40,793 5.5

23

Belgium 51,689 39,508 3.4

24

Chile 37,705 39,245 5.1

25

India 37,895 38,954 1.0

Linux и Android ботнетыPsyb0t – 100.000 ADSL зараженных маршрутизаторов Netcomm NB5.

Появился за счет халатности производителя.

Psybot поддерживает заражение прошивок OpenWRT и DD-WRT. Кроме подбора пароля по SSH, FTP или telnet может атаковать некорректно настроенные версии phpMyAdmin и MySQL.

http://www.symantec.com/security_response/writeup.jsp?docid=2009-032400-0103-99

http://www.opennet.ru/opennews/art.shtml?num=25528http://www.opennet.ru/opennews/art.shtml?num=20918

Впоследствии появился ботнет Chuck Norris http://www.pcworld.com/businesscenter/article/189868/chuck_norris_botnet_karatechops_routers_hard.html

Ботнет на основе Android из 40000 устройств довольно серьезная сила. Возник из за отсутствия проверки приложений в Android markethttp://s1.securityweek.com/report-reveals-emerging-trend-android-botnet-infections

Ботнет в действии1) Злоумышленник создает зловред сам или покупает его на рынке. Затем использует его для заражения целей или продает другим.

2) Доступ к части ботнета продается другим злоумышленникам

4) Ресурсы ботнета

используются для множества

аттак одновременно

5) Свободные ресурсы используются для

заражения и добавления новых узлов в ботнет

3) Доступ к ботнету получен

Рынок ботнетов

Рынок ботнетов

Цена за тысячу зараженных компьютеров:

• США и Великобритания – от 110$ до 180$.

• Европа - от 20$ до 60$.

• Другие страны - менее 10$.

Цена варьируется в зависимости от того что

можно найти на зараженных ПК и скорости

подключения в Интернет.

Изготовление ботнетов

Ботнет комплекты в продаже:• Zbot (Zeus)• Spyeye• Mariposa• Black Energy• ButterFly• Reptile• Zombiem• Ice-X

Цена на комплект варьируется от 10000$ до 5$.

Построение ботнета ZbotСправится даже ребенок!

Управление ботнетом Zbot

Управление ботнетом Zbot

Управление ботнетом ZbotАналог облачных вычислений:

• Выполняет задачи нескольких заказчиков одновременно

• Эластичен и представляет почти безграничные ресурсы

• Оплата за потребляемые ресурсы

Управление ботнетом Zbot

Логины и пароли собранные ботами с зараженных систем

Обнаружение активности ботнетов

Все остальные

Все остальные

Grum

GrumBobax

BobaxCutwail

CutwailRustock

Rustock

Lethic

Lethic

Storm

Спам сообщений IP адреса узлов отправителей

Поведение ботнета при рассылке спама

Lethic крайне агрессивно рассылает спам с малого количества IP адресов.

Rustock использует много IP адресов и шлет с каждого понемногу.

За счет этого обнаружить Rustock сложнее.

Типовая структура ботнета

Варианты уничтожения ботнета

• Захватить или уничтожить С&C узлы• DDoS на С&C узлы?• Жалобы провайдеру• Захват DNS имен• Блокирование IP адресов• Арест владельца ботнета• Судебный иск

Механизмы управления C&C узлами

IRC38.2%

HTTP29.1%

P2P2.3%

Другое

30,5%

Операция b49

Захват ботнета Waledac

Структура ботнета Waledac

Waledac exchange node and repeater node

277 DNS имен Waledacbestchristmascard.com bestmirabella.com bestyearcard.com blackchristmascard.com cardnewyear.com cheapdecember.com christmaslightsnow.com decemberchristmas.com directchristmasgift.com eternalgreetingcard.com freechristmassite.com freechristmasworld.com freedecember.com funnychristmasguide.com greatmirabellasite.com greetingcardcalendar.com greetingcardgarb.com greetingguide.com greetingsupersite.com holidayxmas.com topgreetingsite.com whitewhitechristmas.com worldgreetingcard.com yourchristmaslights.com yourdecember.com yourmirabelladirect.com

newyearcardcompany.com newyearcardfree.com newyearcardonline.com newyearcardservice.com smartcardgreeting.com superchristmasday.com superchristmaslights.com superyearcard.com themirabelladirect.com themirabellaguide.com themirabellahome.comyourregards.com youryearcard.com bestbarack.com greatobamaguide.com greatobamaonline.com jobarack.com superobamadirect.com superobamaonline.com thebaracksite.com topwale.com waledirekt.com waleonline.com waleprojekt.com goodnewsdigital.com goodnewsreview.com

linkworldnews.com reportradio.com spacemynews.com wapcitynews.com worldnewsdot.com worldnewseye.com worldtracknews.com bestgoodnews.com adorelyric.com adorepoem.com adoresongs.com bestbaracksite.com bestobamadirect.com expowale.com bestadore.com bestlovelong.com funloveonline.com youradore.com yourgreatlove.com orldlovelife.com romanticsloving.com adoresong.com bestlovehelp.com chatloveonline.com cherishletter.com cherishpoems.com

lovecentralonline.com lovelifeportal.com whocherish.com worldlovelife.com worshiplove.com yourteamdoc.com yourdatabank.com alldatanow.com alldataworld.com cantlosedata.com justchristmasgift.com lifegreetingcard.com livechristmascard.com

P2P обмен внутри Waledac с помощью fast flux DNS

Проксирование траффика Waledac

Последовательность действий

Создание прецедента

Судебный иск

Захват С & C доменов

Официальное уведомление

Захват Waledac

Hotmail заблокировал 651 миллион

соединений от ботнета

Waledac-за 18 дней

Waledac входит в 10

крупнейших ботнетов в 39

странах

Уведомление о решении суда www.noticeofpleadings.com

Отравление Waledac

Активные IP адреса ботнета Waledac

2-й квартал 2010 г.

Активные IP адреса ботнета Waledac

Январь 2011 г.

После захватаMS не может удалить ботов с зараженных ПК. Это будет вмешательством в частную жизнь.

Образцы ботов добавляются в антивирусные продукты MS и других производителей. Обмен образцами идет через Microsoft Active Protection Program (MAPP)

Интернет провайдерам сообщаются адреса зараженных машин через программу Global Infrastructure Alliance for Internet Safety

Пользователям рекомендуется использовать:Malicious Software Removal ToolMicrosoft Safety ScannerMicrosoft Security Essentials

Уничтожение других ботнетовОперация b49 Захват ботнета Waledac 1.5 миллиардов спам сообщений ежедневно. В процессе исследования было найдено полмиллиона паролей от почтовых ящиков пользователей и ftp серверов.

Операция b107Захват ботнета Rustock. В пике своей активности рассылал 80% мирового спама. Примерно 2000 спам сообщений в секунду.

Захват ботнета CorefloodФБР при содействии Microsoft захватила ботнет Coreflood отвечающий за финансовые преступления на сумму 100 миллионов долларов

Операция b79Захват ботнета KelihosСовместная операция Лаборатории Касперского и Microsoft. Kelihos можно назвать Waledac 2.0

Ресурсыhttp://blogs.technet.com/mmpc/http://blogs.technet.com/msrc/http://www.microsoft.com/security/sdl/http://www.microsoft.com/security/sir/