Sinowal

 

Bootkit: výzva v roce 2008

Termín Malware 2.0 je často používán v našich zprávách naznačovat model pro komplexní škodlivé programy, které se objevily na konci roku 2006. Nejvýraznějších příkladů, a původní členové Malware 2,0 ar Bagle, Warezov a Zhelatin červy.

Malware 2.0 model je charakterizován takto:

  • Absence jednotného velení a řízení centra pro sítě infikovaných počítačů

  • aktivní využívání metod boje proti analýzy škodlivého kódu a pokouší se získat kontrolu nad botnet

  • krátký-žil hromadnou korespondenci škodlivého kódu

  • efektivní využití sociálního inženýrství

  • využití celé řady metod k šíření škodlivých programů a postupný odklon od využívání metod (např. e-mail), které přitahují pozornost

  • s použitím řady modulů (spíše než jediné) s cílem poskytovat celou řadu škodlivých náklad

Vývoj Malware 2,0 způsobuje řadu problémů pro antivirový průmysl. Nejdůležitější je podle našeho názoru, je fakt, že tradiční antivirová řešení, které jsou založeny výhradně na použití podpisu nebo heuristickou analýzu souborů, nejsou schopni spolehlivě proti napadení viry (a to i bez řešení problému zrání infikovaných systémů ).

Myslíme si, že mezi případy roku 2008, které prokazují hrozby Malware 2.0, měla historie Rustock rootkit být zvýrazněny. (Rustock se zabývá podrobně zde: http://www.viruslist.com/en/analysis?pubid=204792011). Počet nových metod technologií a přístupů byla provedena v Rustock, které mohou mít významný dopad na budoucí vývoj Malware 2.0.

Nejnovější incident, coveredin tato zpráva jasně ukazuje, moderní umění válčení jako provedené autory virů a antivirových společností a také ukazuje na význam nových technologií pro ochranu.

Podivný případ se restartu počítače

V polovině srpna, se začaly objevovat stížnosti na internetových fórech od uživatelů, kteří tvrdí, že jejich počítače byly restartu se po řadě míst byl navštívil. Co způsobilo restartu byl nejasný. Nebyly zjištěny žádné společné faktory nalézt v hardware a software používat. Pouze jediné možné vysvětlení zůstal: příčina restartu musel být na stránkách samotných.

Počáteční inspekce odhalila podezřelé weby nic - místa se zdá být neškodné. Ve většině případů, uživatelé se zlými úmysly, kteří chtějí nakazit oběť stroje hack legitimní stránky, a místo, odkazy na jejich zdroje, které obsahují využije na těchto stránkách. Tato technika je známá jako " drive-by download ', když uživatel prohlíží infikované stránky, kód bude škodlivý být instalován na počítač oběti bez vědomí uživatele nebo souhlasu. však nic, byl zjištěn na tomto webu - není podezřelé iframe žádné podezřelé skripty.

Problém by mohl být připsal Windows automaticky restartu po instalaci aktualizace, což bylo velmi pravděpodobné, jako časový rámec se shodoval s nejnovější patch verze od společnosti Microsoft.Situace se však ukázalo být daleko vážnější, než toto.

V průběhu následného šetření, jsme použili několik virtuálních strojů na návštěvu podezřelé stránky.Neměli jsme jen navštívit stránky, ale aktivně se přestěhovala z jedné části stránky na jinou a klikli na odkazy. A po chvíli se počítač restartoval test!

Analýza systému ukázaly změny v boot sektoru. Takové změny by mohly naznačovat přítomnost bootkit v systému. My se vztahuje bootkits a problémy těchto technologií může způsobit v naší zprávě za první čtvrtletí roku 2008 ( viruslist.com ). Nicméně, nové varianty bootkit žádné zjištěny od března 2008. Mohl by to být bootkit se vrátil?

Náhradník odkazy

Poté, co jsme měli určit, které stránky a odkazy, které způsobil počítače uživatelů 'k restartu, jsme byli schopni provést podrobnější analýzu.

Jak se ukázalo, že uživatelé se zlými úmysly vzal poměrně originální (i když ne nový) přístup k injekčním odkazy. Neměli přidávat své vlastní iframe nebo skripty pirát míst, jako například změny jsou velmi snadno odhalit. Místo toho, "škodlivý" odkazy byly nahrazeny za "legitimní", odkazy na stránky pirát.

Legitimní odkaz vypadá takto: <a href = " http://atm.n ****. com "> <B> atm.n ****. com </ B> </ a>

A to je to, co vypadá jako odkaz, jakmile stránky byly napadeny hackery: <a href = " ***. com / cgi-bin / index.cgi? http:// dx "> <B> atm.n *** *. com </ B> </ a>

K tomu, aby počítač nakazí, uživatel musel nejen otevřít stránku na webu, ale také hacknutý kliknout na náhradní odkaz. Tím se snižuje počet potenciálních obětí, ale nijak výrazně - zvláště v případě, že odkazy jsou nahrazeny ručně a pečlivě vybrány uživatelů se zlými úmysly.

První zmínka o místa jako ***. com / cgi-bin / index.cgi? Dx začala objevovat na internetu kolem počátku června roku 2008 v podobě stížností ze stránek vlastníky a uživatele legitimních webů. Stížnosti byly o podivných vazeb, které se objevily na důvěryhodné zdroje. Bylo jasné, že tam byl poměrně vysoký počet těchto "infekce centra" na internetu, ale i přes množství doménových jmen, oni byli všichni umístěn na společné servery.

Níže uvedený graf ukazuje malý počet lokalit, které jsme zjistili:

  

   
Umístění serverů, které infikovaných uživatelů s bootkit (Zleva doprava: doménové jméno, IP adresu serveru, podsítě, kde se nachází server, autonomního systému

Osobní využívá

Takže to, co se stane, když uživatel klikne na náhradní odkaz? Server zpracuje příchozí žádosti a dostane informace o tom, které stránky uživatel přišel z, uživatele IP adresa, typ prohlížeče, a který prohlížeč plug-iny jsou nainstalovány. Tento server využívá tyto informace přiřadit uživateli jedinečný identifikátor, který je pak uložen na server.

Příkladem takového ID přiřazené návštěvník škodlivý server je index.cgi @ ac6d4ac70100f060011e964552060000000002e4f11c2e000300190000000006

Poslední postavy této show ID, že uživatel má verzi šest nainstalován Acrobat Reader.

Využít je pak vytvořen pro každého konkrétního uživatele. Pokud má uživatel ohrožená verze Acrobat PDF nainstalován využít budou staženy na jeho počítač. Pokud Real Player je nainstalován, pak využít pro tento program budou staženy, a tak dále. V závislosti na přidělených ID uživatele, bude server vygenerovat zmatku klíče, který bude použit pro zašifrování vhodné využít.

   
Příklad popletl zneužít

Využívá zranitelnosti ve zpracování formátu PDF, SWF, QuickTime a soubory byly stažené ve většině případů. Seznam zneužití slabin, které uživatelé se zlými úmysly jsou poměrně dlouhé, a je neustále doplňuje. Nejčastěji používané zranitelnosti jsou uvedeny níže:

  • CVE-2007-5659

  • CVE-2006-0003

  • CVE-2006-5820

  • CVE-2007-5779

  • CVE-2008-1472

  • CVE-2007-0018

  • CVE-2006-4777

  • CVE-2006-3730

  • CVE-2007-5779

  • CVE-2008-0624

  • CVE-2007-2222

  • CVE-2006-0005

  • CVE-2007-0015

Jakmile zneužít byla vytvořena pro konkrétního uživatele, začne běžet na počítač oběti způsobem zranitelné aplikace. I když je spuštěný na počítači, je Trojan Kapátko program stáhnout na počítač oběti.Tento program používá unikátní ID uživatele a klíčem serveru, které jsou uloženy v databázi serveru.

Zvenku, to vše vypadá naprosto neškodný, a nevzbuzuje podezření: jakmile využívat již běží, server vrátí skutečný adresu stránky, které uživatel chce zobrazit, a stránku, která nahrazuje odkaz uživatel klikl na vede. Oběť dostane přístup ke zdroji chtěl, aniž by si všiml, že počítač byl připojen na jiný server a nakazit.

Navíc pokud uživatel klikne znovu na náhradní spojení, nebude opakovat chod využít, ani opakovat pokus o infekce - bude uživatel ihned přesměrován na legitimní stránky. Škodlivý server vede databázi návštěvníků, a žádná jednotlivá ID je znovu použít.

Návrat Neosploit

Jaká byla použita k získání "osobní" využívá pro uživatele? K našemu velkému překvapení, to bylo něco, kde jsme se setkali jsme se domnívali, mrtví a pohřbení: Neosploit administrativní panel.

Svazku Neosploit na zranitelná místa byla známá asi od poloviny roku 2007, kdy byl prodáván na černém trhu za pár tisíc dolarů (mezi $ 1000 a $ 3,000). To bylo vážnou konkurenci pro další malware výstroje, jako jsou MPack a ledový obklad.

Na konci roku 2008, zprávy se objevily (http://ddanchev.blogspot.com/2008/07/neosploit-team-leaving-it-underground.html) (http://blogs.zdnet.com/security/?p = 1598) říká, že známá skupina kybernetických zločinců, kteří byli za tvorbu, distribuci a podporu Neosploit přestal existovat.

Oznámení, které učinil zástupci uvedených skupin:

"Bohužel, podporující náš produkt již není možné. Omlouváme se za případné nepříjemnosti, ale byznys je byznys, protože množství času stráveného na tomto projektu neopravňuje sama o sobě. Snažili jsme se těžko uspokojit potřeby našich klientů 'během posledních několika měsíců, ale podpora musí skončit na nějakém místě. Byli jsme 1,5 rok s vámi a doufám, že to byl dobrý čas pro vaše podnikání. "

Takový náhlý closedown se stane, jako pravidlo, buď proto, že skupina je v šetření orgánů činných v trestním řízení, nebo svědčí o skutečnosti, že zločinci jsou o něco "významné" a připravují alibi pro sebe.

Poslední verze Neosploit vytvořil a prodal před rozpuštění skupiny byla verze 2.0.17. Nicméně, na serveru zodpovědný za generování využije, viděli jsme verzi 2.0.23 v panelu správy Neosploit!

   
Hlavní okno správy panelu

V zášti jeho zdánlivě nízký-key povahy, administrativa Neosploit rozhraní má širokou škálu funkcí.

  
Dialogové okno pro přidání nového uživatele do systému

Správy Neosploit panel, který byl použit k výrobě využívá, vytvořit a spravovat databáze infikovaných uživatelů atd. je spustitelný soubor napsaný v C + + a sestavují běžet na Linuxu a FreeBSD.

   
Správy Neosploit panel zevnitř

   
Rozebrat kód serveru zodpovědných za zamlžování exploity

Neosploit je určen k umístění na hostování stránek a konfigurován pro maximálně rychlou instalaci a spuštění. Je zde však vážný problém související s použitím Neosploit tj. že to je "komerční" produkt.Problém se soustředí na skutečnost, že zakoupené vydání Neosploit lze použít pouze pro omezený počet spojení - podobně jako shareware produkty, které mohou být použity pouze do určitého bodu v čase.

Každý pokus infikovat uživateli generovat a využívat výsledky na serveru Neosploit připojování k serveru, který pravděpodobně zaznamenává počet připojení (v době analýzy, byl tento server umístěn na Ukrajině). Autoři Neosploit může sledovat používání svých výtvorů a / nebo platbu za své služby na základě počtu infikovaných uživatelů. Je pravděpodobné, že pokud spojení nemůže být na server, využívat nebudou vytvářeny a uživatel zůstane neinfikovaných.

Bootkit

Jednou to byl vložen do systému, kapátka Trojan program spustí přes zranitelné aplikace, výpisy bootkit instalační program od sebe a přenáší jedinečný identifikátor uživatele na to.

Instalátor pak upraví spouštěcí sektor a klade hlavní tělo škodlivého programu na pevném disku odvětví.

Příklad záznamu v zavazadlovém prostoru na disku

CreateFileA ("\ \ \ \ \ \ RealHardDisk0." GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0x0, 0x0)

   
Příklad infikovaných hlavní spouštěcí záznam

Pokud jsou všechny tyto činnosti jsou úspěšně provedeny v systému, pak je kapátko přenáší příkaz k restartování počítače. A to je to - neočekávané restartování systému, zatímco uživatel je na internetu - to způsobilo podezření mezi uživateli, což je psát o zkušenosti na fórech ve snaze pochopit, co se stalo.

Jakmile se stroj se znovu spustil, bootkit háčky rozsah funkcí systému a začíná běžet úplně v systému - skrývají svou přítomnost, a funguje jako bot v rámci sítě zombie.

  
Uživatel infekce sekvence

Migraci velení a řízení centra

Všechny technologie, které jsme zjistili při analýze pronikání mechanismu jsou zajímavé, některé jsou originální (například odkaz substituce, zamlžování využije k letu pro konkrétní systém), ale celkově unikátní. Tyto technologie se objevily již dříve, i když před do srpna 2008 oni ne všechny byly použity v rámci jediného útoku.

Skutečné překvapení čekalo na nás, když jsme analyzovali práci bot: botnet velení a řídící centrum (C & C), byl neustále v pohybu z jedné domény na jinou!

Podle našich pozorování, velení a řízení centra by někdy pohybovat až do 2 - 3 krát za jediný den.Například ráno by to mohlo být spuštěn na aykjfgves.com, pak v poledne se přestěhovali do dmiafgves.com, zatímco zabírat gfdpves.com ve večerních hodinách. Účinně, byly infikovaných počítačů, které tvořily součást botnetu nuceni opakovaně hledat aktivní velení a řízení centra za účelem připojení.

Takové botnety jsou velmi těžko odhalit, a jakmile zjištěny velmi obtížné snížit. Uživatel se zlými úmysly může kdykoli přesunout středisko velení a řízení na některou z desítek, nebo dokonce sto, speciálně připravené domény, takže vědci bezmocná v boji proti nim. I když se botnet velení a řízení střediska bylo zjištěno, během pár hodin to bude přesunut do jiné domény. Bude pak jen možné najít na základě analýzy síťové pakety zaslané roboty, které budou hledat svůj nový domov.

Není pochyb o tom, že tato metoda je určena jak pro boj proti konkurentům, kteří se mohou pokusit ukrást botnet a bránit snahám antivirových společností a orgánů činných v trestním řízení.

   
Příklad umístění serverů používá k řízení botnet (zleva doprava: doménové jméno, IP adresu serveru, podsítě, kde se nacházejí servery, autonomní systém)

Generování doménových jmen podle speciálního algoritmu a registrace domén výsledné umožňuje uživateli se zlými úmysly dál středisko velení a řízení na dlouhou dobu. Rozsah registrátorů doménových jmen se používají pro registraci domén: americké, africké, asijské a evropské. Tam jsou jasné stopy v ruské registrační údaje použité majitel, i když samotná data je nepochybně pravda.

Velení a řízení centra využívá nejrůznější hostingové služby možné po celém světě, velení a řídící centrum je schopen se pohybovat na nový hosting během několika minut, což brání tomu zavřeli, ale nemá nepříznivý vliv na jeho funkčnost.

   
Příklad umístění serverů používá k zápasu názvy domén s IP adresou velení a řídící centrum (zleva doprava: domény, IP adresu serveru, podsítě, kde se nacházejí servery, autonomní systém)

Tato metoda je podobná Fast-Flux technologie, která se aktivně používají červy z Zhelatin (Storm Worm) rodina. Nicméně, fast-flux pouze umožňuje neustále měnit IP adresy domény škodlivý, zatímco technologie při bootkit, aby bylo možné změnit domén sebe, stejně jako IP adresy.

Velení a řízení centra obsahuje databázi registrovaných domén, které lze použít k hostiteli velení a řízení centra.

Příklad registrovaných domén

ccuuuag.biz

67.228.229.122

registrované: 2008-08-07

ewwxbhdh.com

74.50.107.78

registrované: 2008-08-07

paiuuag.com

208.73.210.32

registrované: 2008-08-06

paiuuag.net

208.73.210.32

registrované: 2008-08-06

Během počáteční infekce proces, při využití je spuštěn, stahování počítač oběti bootkit, který je navržen pro práci s příkazy a řídící centrum, které je aktivní v té době. Jakmile bude systém restartován a bootkit běží v plné síle, bot se pokusí připojit k velení a řízení centra. Škodlivý program vytvoří speciálně vytvořeného síťového paketu pomocí ID infikovaný počítač a pokusí se odeslat na velení a řízení server, který již má informace o infikovaných počítačích.

   
Příklad paketu

Pokud to není možné se připojit k velení a řízení centra, bot bude používat speciální algoritmus postupně vytvářet. Com,. Net a. Jména biz domény. Počet doménových jmen vytvořených závisí na aktuální datum a čas. Backdoor se pokusí připojit ke každému z těchto domén a předá speciálně vytvořeného paketu jako autorizační klíč.

   
Příkladem domény vyhledávání

Jakmile jedna z oblastí se zdá být "správná" (např. přijímá paket a odpovědi tím, že pošle svůj vlastní jedinečný balíček) bot se k němu připojit jako botnet klientem a začne šifrovat komunikaci s řídící a kontrolní centrum. Jako pravidlo, že toto sdělení má za následek další modul (DLL), stáhne do počítače oběti.

  
Dílčí schéma bot funkcí

Špionážní modul

Od začátku roku 2008, má botnet byl přezkoumán mnoho odborníků v oboru, ale tento výzkum byl omezen na zkoumání rootkit části a pokusy analytiky, aby prošetřila, jak botnet fungoval, a řízení příkazy.

Nicméně, všichni tento výzkum - výsledky, které známe - neodpověděl, co pro nás byla hlavní otázky: "Proč?" Nebo, řečeno jinak, "Kde jsou peníze?"

Naším hlavním úkolem bylo tečka všechna i a přes všechna t je při psaní historie bootkit. Aby bylo možné udělat, museli jsme přesně porozumět, co takové sofistikované bootkit byl úkryt v systému.

Jakmile oběť stroj připojen k botnet středisko velení a řízení, to dostane zašifrovaný paket větší než 200 kb ve velikosti. Bootkit pak dešifruje tento paket, a uvnitř je soubor DLL, který bootkit načte do paměti a které neexistuje jako soubor na disku!

Tím, bootkit je schopen zajistit, že nahraje DLL je neviditelný, kdy je systém analyzován pomocí tradičních metod. Je také neviditelná pro většinu antivirových programů. Pamatujete si, co Rustock udělal? Je také naloženo DLL do paměti, ale to byl také přítomen na disku počítač oběti. Tento bootkit je daleko složitější.

Samozřejmě, nakládací kód pouze do paměti znamená, že když se restartoval systém, kód mizí, přestává existovat, a systém se stává čistý (s výjimkou přítomnosti bootkit v systému). Nicméně, tyto "nepříjemné věci" má své plusy: antivirový program, který skenuje paměti při spuštění operačního systému se nezjistí nic podezřelého - jednoduše proto, že není nic podezřelého odhalit. Nicméně, jakmile se počítač připojí k internetu, bootkit vytváří spojení s řídící a kontrolní centrum a načte DLL na počítač oběti znovu.

A co dělá DLL dělat?

Pojďme se podívat na historii Sinowal (což je, jak jsme se zařadit bootkit). Na konci roku 2007, kdy bootkit objevil, byl tento název již používá: velké množství špionážních programů Trojan navržen tak, aby krást data (hlavně přístupové údaje pro on-line bankovních účtů) dostal se pod názvem Trojan-Spy.Win32. Sinowal.

Při analýze bootkit jsme si všimli, že zmatek algoritmus těla bootkit byl totožný s zmatku algoritmus použitý v Trojan-Spy.Win32.Sinowal. Jsme dospěli k závěru, že autoři bootkit a špionážní Trojan programu byly jedno a totéž. Před tím, podrobnou analýzu DLL, podobnost mezi algoritmy používané zmatek byl jen potvrzením, že tyto dva škodlivých programů vycházela ze stejného zdroje.

Jakmile jsme extrahovali skrytý DLL z paměti počítače a zkoumal, jak to fungovalo, měli jsme pevně verdikt: DLL je shodný s Trojan-Spy.Win32.Sinowal a plní stejnou funkci jako Trojan špionážní program.

Takže jakmile botnet byl povolen na síti, DLL modul, který je navržen tak, aby kradl hesla a zachytit síťový provoz je stažen do počítače oběti.

Sinowal by se dalo nazvat univerzální zloděj. Jakmile je v systému, okamžitě začne vyhledávat všechny dostupné hesla pro širokou škálu aplikací.

   
Rozebrat kód krást hesla modul

Seznam aplikací, cílených

Total Commander

Thunderbird

FlashFXP

SecureFX

Windows

The Bat

Trellian FTP

LeechFTP

Velitel

Internet Explorer

Crystal FTP

e-Safekey

AK-Mail

Mozilla FireFox

Složka

Flash Player

Inetcomm

LeechFTP

FAR Manager

PuTTY

Outlook

FTPS

FTP Voyager

WinSCP

MSO

FireFTP

CuteFTP

SecureCRT

Většina aplikací, na něž se modul určený k odcizení důvěrných dat jsou určeny pro správu webových stránek. To je rozhodující pro uživatelé se zlými úmysly, neboť tyto stránky, které mohou být použity buď k hostiteli botnet velení a řídící centrum, nebo využije k hostiteli.

Nicméně, je to na bankovní účty, které jsou nejcennější na tyto kybernetické zločince.

   
Částečný seznam bankovních stránek, na které špionážní modul krade hesla. Celý seznam obsahuje přibližně 300 míst.

Záchytné všechna síťová připojení od oběti stroj, DLL skenuje provoz pro kontakt s bankovní weby.Všechny údaje zadané uživatelem na těchto stránkách bude zaslána uživateli se zlými úmysly serveru.

Špionážní Modul je schopen zahájit man-in-the-middle útok pomocí bootkit jako platformu, která má plný přístup ke zdrojům tohoto operačního systému. To umožňuje špionážní modul zachytit důvěrné informace zadané prostřednictvím prohlížeče.

Modul má téměř všechny funkce špionážní program, od banální odposlouchávání dat zadaných prostřednictvím klávesnice na sub-domén chráněných SSL spojení. Při kontaktu https stránky, může špionážní program otevřít další okna v prohlížeči o povolení, a uživatel může mylně vstoupit do jeho účtu v tomto okně, protože to vypadá, že je součástí banky stránkách.

Špionážní program může přesměrovat požadavky uživatelů na phishingové weby. Všechny sklizené data jsou šifrována a odeslána dedikovaný server.

   
Příklad umístění serverů, které podporují SSL spojení a které se používají k přesměrování uživatele na podvodné stránky (Zleva doprava: doménové jméno, IP adresu serveru, podsítě, kde je umístěn server, autonomního systému)

   
Příklad umístění serveru, který ukradl použití hesla jsou odesílány do (Zleva doprava: doménové jméno, IP adresu serveru, podsítě, kde je umístěn server, autonomního systému)

Škodlivý síť

Při pohledu na celkové schéma útoku, je třeba připomenout, že všechny komponenty bootkit sítě jsou v neustálém pohybu. Tím, že řídí doménové servery, uživatelé se zlými úmysly jsou schopni rychle a snadno změnit umístění využije, velení a řízení správní panel, místo, kde jsou načteny moduly, a sběr důvěrných údajů. Toto účinně je systém extrémně stabilní, jak změny konfigurace síťových komponent může být provedeno bez jakýchkoliv změn v konfiguraci bootkit nebo jeho modulů.

  
Jak bootkit interaguje se servery

Rozsahu infekce

Oba první bootkit, který se objevil na konci loňského roku, a Rustock byly rozšířeny využitím zdrojů skupiny IframeBiz. Nicméně, vzhled této bootkit took místa v naprosto odlišným způsobem: scénář byl hodně technický a dluží skvělou dohodu k epidemie způsobené tím, Rustock a Sinowal.

Měření rozsahu epidemie zjištěním počtu uživatelů si stěžují jejich počítače restartu by se něco špatného udělat. Kategorické odpovědi by mohly být poskytnuty podle statistiky z botnet velení a ovládací centrum, ale my jsme neměli plný přístup do administračního panelu. Nicméně, je možné vytvořit několik čísel.

Při pohledu do incidentu, jsme identifikovali pět hlavních serverů, které byly použity ke stažení využije.Chcete-li dát představu o rozsahu tohoto problému, více než 200.000 uživatelů z USA navštívili tyto servery více než 24 hodin.

  
Počet unikátních návštěvníků z USA na dvě lokality s výskytem využívá

Jak již bylo uvedeno, je správa panel slouží k ovládání botnet neustále přesídlil v souladu se zvláštním algoritmem. Nicméně, ne všechny boty se k němu připojit i když je "v pohybu".

V následujících grafech je ukázat několik center v rámci přemístění, "ocas", vytvořené jako roboty připojit k nim a údaje o počtu infikovaných systémů. Je jasné, že velikost botnet dosáhl téměř 100.000 botů ", což je poměrně vysoké číslo. Je třeba poznamenat, že tento případ se vztahuje pouze na americké uživatele.

  
Počet unikátních návštěv z USA do administračního panelu, když se stěhoval do další domény

 

  
Počet unikátních návštěvníků z USA do administračního panelu, který zůstal na staré domény

Metody ochrany

Autoři bootkit se maximální úsilí o vytvoření dobře-chráněný, vysoce mobilní a non-zranitelné balíčku, a pečlivě naplánované, jak každé fázi bude fungovat, od infikování uživatele k řízení botnet sám. Byli dychtiví, aby nebyly činěny žádné chyby, ani v malých věcech, jako je vstřikování iframe do stránky kód.

Navzdory sofistikované technologie používané autoři bootkit, měly by se moderní antivirové produkty být schopen zabránit pronikání škodlivého kódu z počítače.

Takže to, co by mohlo dát mluvil kola počítačoví zločinci 'v každé fázi infekce procesu?

Přístup, který počítačoví zločinci (tj. podněcuje uživatele k návštěvě škodlivé weby a generování jedinečných exploity) byl navržen nejen infikovat maximální počet uživatelů, ale také v boji proti řadě technologií, které využívají dnešní antivirových produktů.

Tak nahrazení vazby, ale spíše více iframe je navržen tak, aby boj proti tradičním skenování web-provozu, například skenování buď výsledků v podezřelých iframe být více přísně kontrolovány, nebo zcela zablokována.

S ohledem na desítky, a někdy i stovky legitimní stránky, které jsou napadeny hackery, aby se přidat škodlivý kód na svých stránkách, že nejlepší způsob ochrany před takovými je zavést technologii, která blokuje známé škodlivé weby.

   
Přístup byl odepřen: uživatel pokusí KIS 2009 na názor infikované stránky

Využije, jsou automaticky generovány pro každého nového uživatele, ale i když kód využívat mění pokaždé, když se plést mechanismus není. To znamená, že antivirový program je schopen detekovat popletl skript pomocí buď podpisem nebo heuristické detekce.

  
Nalezení zatemnil zneužít

Je-li využívat přesto byl stažen na počítač oběti, nebude možné spustit v případě, že uživatel má pravidelně oprava jeho operačního systému a softwarových aplikací. Vulnerability Scanner je schopen identifikovat zranitelné aplikace.

   
Detekci Flash Player komponentu s unpatched zranitelnost

   
Popis zranitelnosti na Viruslist.com

Představme si, že má uživatel nainstalovanou aplikaci zranitelné, a že má využívat rozběhl. Bootkit kapátko pak lze stáhnout na počítač oběti: protože to spustitelný soubor je vytvořen na serveru pro každého uživatele, to je podpis detekce obtížnější.

V této fázi, bude nejúčinnější metoda použitá antivirový produkt být proaktivní ochranu, který je schopen analyzovat dosud neznámé soubory, zjistit jejich funkce a chování heuristická analýza kódu a chování škodlivého programu.

   
Když je spuštěn spustitelný soubor, KIS 2009 analyzuje to ...

   
... A pokud analýza ukazuje potenciální hrozbu, bude soubor bránit zahájení

  
Soubor má velkou hrozbu hodnocení, které byly detekovány jako heuristicky Heur.Backdoor.Generic

Pokud se v době infekce uživatel nemá dostatečně účinné antivirové řešení nainstalovaným, pak bootkit, který pronikl do systému, začnou se před operační systém a antivirové řešení bylo zahájeno. To umožňuje bootkit k ovládání důležitých funkcí systému a skrýt svou přítomnost na infikovaný počítač.

Detekci a neutralizaci škodlivý kód může být děláno používat antivirový program, který zahrnuje silný antirootkit modulu, počínaje skenováním systémové paměti ...

   
Detekci rootkit v paměti

a pak boot sektor ...

   
Vytvrzování MBR

Výsledek - systém je dezinfikovat.

   
Zpráva o plném dezinfekce pomocí KIS 2009

Závěr

Ve své době byl bootkit technologický průlom pro autory virů. Nyní je tento bootkit vybaven výkonným šíření rutinní a funguje jako součást botnetu.

Zaváděné technologie v Rustock rootkit z tohoto škodlivého programu velmi schopni proklouznout kolem antivirových společností, stejně jako bránit analýzy. Bootkit také používá celou řadu metod, aby se zabránilo program od odhalení v raných fázích infekce, pokouší se nakazit co nejvíce uživatelů je to možné, a také zabraňuje botnet od byla přijata dolů.

Příklady těchto metod jsou vysoce organizovaný přístup a použité technologie, využití desítek zranitelností v jiných aplikacích, přechod od režimu startu OS na nulu, třetí kruh a zase zpátky, vytváření aplikací v C + + pro * nix operační systémy, kryptografické protokoly, metody používané k autorizaci roboty v systému apod.

Není pochyb o tom, že vývoj takového systému trvalo několik měsíců, a zajistit jeho hladký chod neustálé ladění a výdaje na pořízení nebo vytvoření nových exploitů, domény, hosting, atd.

Je vysoce nepravděpodobné, že systém by mohl být vytvořen, plánovat, zavádět a podporovat jeden či dva lidé. Toto je vytvoření ne jen jeden, ale několik skupin počítačoví zločinci, kteří úzce spolupracují, přičemž každý odpovědnost za oddělených částech projektu.

Historie bootkit odráží, jak široce problematice informační bezpečnosti ovlivňují řadové uživatele.Všechny technologie jsou v současnosti zkoumány výše aktivně používají v drtivé většině škodlivých programů.

Prohlížeče jako infekce vektor, rootkit technologie, botnety, krádeže uživatelských dat, šifrování, zmatek, anti-antivirovým řešením technologie - jsme se setkali všechny tyto jednotlivě během třetího čtvrtletí roku 2008. A v bootkit všichni sešli.

Jediný způsob, jak účinně bojovat s hrozbami, jako komplex je použít širokou škálu obranných technologií: web antivirus, provoz filtrace, chování analyzátoru, pískoviště, provoz v síti analýzy a firewall.Moderní antivirové řešení by měl být schopen nejen k boji proti rootkitům, ale také k neutralizaci "poddruhů 'jako bootkits.