«Лабараторыя Касперскага» прадставіла аналітычны артыкул антывіруснага аналітыка Аляксея Кадиева «Ботнет Bredolab. Канец гісторыі?». Ботнет Bredolab з'явіўся ў сярэдзіне 2009 гады і налічаў за час свайго існавання каля 30 мільёнаў заражаных кампутараў з розных краін міру. У кастрычніку 2010 гады ён быў зачынены аддзелам паліцыі Нідэрландаў па дужанні з кіберзлачынствамі. У артыкуле Аляксей Кадиев «выкрывае» вірусныя тэхналогіі, выкарыстаныя пры пабудове дадзенага ботнета, які паспяхова функцыянаваў на працягу доўгага часу.
Асаблівасць ботнета Bredolab складалася ў аўтаматычным спосабе фармавання зомбі-сеткі і блізкім да замкнёнага цикле яе пабудовы. Для пачатку зламыснікі выкарысталі ўзламаныя легітымныя сайты, наведвальнікі якіх перанакіроўваліся на шкоднасныя рэсурсы, з якіх і адбывалася заражэнне карыстацкіх кампутараў зловредом Backdoor.Win32.Bredolab. Гэты зловред, сярод іншага, загружаў у сістэму траянца, «які паляваў» за паролямі да ftp-акаўнтам і што перадаваў іх гаспадару ботсети. Так зламыснікі атрымлівалі доступ да сайта ахвяры і ўкаранялі ў яго шкоднасны код. Пасля таго як іншы карыстач наведваў заражаны сайт, дадзеная схема паўтаралася. Такім чынам, быў наладжаны аўтаматычны працэс самоподдержания ботнета. Пры гэтым кіберзлачынцы не спыняліся на дасягнутым і стала знаходзілі новыя спосабы падвышэння колькасцяў заражэння карыстацкіх машын. Напрыклад, шкоднасны код укараняўся ў папулярныя інтэрнэт-рэсурсы або распаўсюджваўся пасродкам спаму-рассыланні, якая імітуе паведамленні ад імя Twitter,YouTube, Amazon, Facebook,Skype. «З прычыны складанасці Bredolab, можна выказаць здагадку, што ён кантраляваўся не адным чалавекам. Аднак пакуль вядома аб арышце адзінага зламысніка, звязанага з гэтым ботнетом. Існуе верагоднасць таго, што праз нейкае час астатнія ўдзельнікі злачыннай групы могуць працягнуць пачатае, бо схема, прыдуманая і рэалізаваная імі, досыць эфектыўная. Больш таго, тэхналогіі, выкарыстаныя для стварэння і падтрымкі працаздольнасці дадзенага ботнета, могуць быць прынятыя на ўзбраенне і іншымі кіберзлачынцамі», — лічыць Аляксей Кадиев. Адной з мер па прадухіленні заражэння вэб-сайтаў з'яўляецца своечасовае абнаўленне праграмнага забеспячэння рэсурсу — так можна звесці да мінімуму магчымасць выкарыстання зламыснікамі ўразлівасцяў у кодзе сайта. Акрамя таго, варта памятаць аб існаванні сэрвісаў і сістэм сканавання сайтаў для выяўлення шкоднаснага кода, а таксама несанкцыянаванай змены кантэнту. У мэтах бяспекі лепш адключыць аўтаматычнае захаванне ftp-пароляў у ftp-кліентах, а таксама перыядычна ствараць рэзервовыя копіі сайта (баз дадзеных, файлаў, у якіх можа захоўвацца важная інфармацыя) на выпадак, калі ў выніку заражэнні дадзеныя апынуцца сапсаванымі.
ЛК: Поўнае выкрыццё 30-мільённага ботнета Bredolab
17 снежня 2010
Каментароў (0)