Современные методы борьбы с ботнетами
TRANSCRIPT
Современные методы борьбы с ботнетами
Бешков АндрейРуководитель программы информационной безопасностиMicrosoft
http://beshkov.ru http://twitter.com/abeshkov [email protected]
Содержание
10 самых распространенных семейств зловредного ПО Что такое ботнеты и как в них попасть? Архитектура ботнета WaledacОпыт борьбы Microsoft и партнеров с ботнетами
Откуда данные о зловредах?
Данные о зловредном ПО были собраны с 600 миллионов компьютеров обслуживаемых средствами безопасности Microsoft такими как:
• Malicious Software Removal Tool• Microsoft Security Essentials• Windows Defender• Microsoft Forefront Client Security• Windows Live OneCare • Windows Live OneCare safety scanner
http://www.microsoft.com/security/sir/
Win32/Taterf и Win32/Frethog
Семейство Категория 1 кв 20102 кв 2010
Годовой график
Win32/Taterf Worms 1,495,2862,320,95
3
Win32/FrethogPassword Stealers & Monitoring Tools
2,010,9891,997,66
9
Taterf крадет логины MMORGS игр. Lineage и.т.д
Распространяется через папки общего доступа.
Приносит с собой Frethog крадуший остальные пароли.
Устанавливается с разрешения пользователя
Win32/RenosСемейство Категория 1 кв 2010
2 кв 2010
Годовой график
Win32/Renos Trojan Downloaders & Droppers 2,691,9871,888,33
9
Запугивает сообщениями о заражении.
С разрешения пользователя устанавливает:SpySheriff, SpyAxe, SpyFalcon, SpyDawn, SpywareStrike
Win32/FakeSpyproСемейство Категория 1 кв 2010
2 кв 2010
Годовой график
Win32/FakeSpypro
Miscellaneous Trojans 1,244,3531,423,52
8
Поддельный антивирус. Заражает систему с позволения пользователя.
Запугивает и заставляет покупать поддельное ПО для лечения.
Win32/AlureonСемейство Категория 1 кв 2010
2 кв 2010
Годовой график
Win32/Alureon Miscellaneous Trojans 1,463,8851,035,07
9
Предлагает поставить кодеки для проигрывания видео.
Кто же откажется? Бесплатно!
Вызывает BSOD при обновлении ОС
Win32/ZwangiСемейство Категория 1 кв 2010
2 кв 2010
Годовой график
Win32/ZwangiMisc. Potentially Unwanted Software
542,011 859,801
Предлагает бесплатный скринсейвер.
Устанавливается с разрешения пользователя.
TOP 10 семейств злонамеренного ПО Весь 2010 гСемейство Категория 1 кв 2010 2 кв 2010 3 кв 2010 4 кв 2010
Pornpop Adware — — 2,660,061 3,860,365
Autorun Worms 1,256,649 1,646,532 2,805,585 3,314,092
Taterf Worms 1,496,780 2,323,750 2,338,517 1,615,649
ZwangiMisc. Potentially Unwanted Software
542,534 860,747 1,638,398 2,299,210
Renos Trojan Downloaders & Droppers 2,693,093 1,889,680 2,109,631 1,655,865
Rimecud Worms 1,809,231 1,749,708 1,674,975 1,892,919
Conficker Worms 1,498,256 1,664,941 1,649,934 1,744,986
FakeSpypro Miscellaneous Trojans 1,244,903 1,424,152 1,897,420 889,277
Hotbar Adware 1,015,659 1,483,289 942,281 1,640,238
ClickPotato Adware — — 451,660 2,110,117
Java Script вынуждает
пользователя кликнуть и установить
вредоносное ПО в систему
Win32/Conficker - KidoСемейство Категория 1Q10 2Q10
Годовой график
Win32/Conficker Worms 1,496,8771,663,34
9
Использует для распространения 3 уязвимости в Windows. В пике эпидемии доходил до 6,5 млн зараженных хостов.
Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии!Более 90% клиентов обновилось в течении первой недели. Заражены те, кто не установили обновление в течении трех лет.
Технологическая или социальная проблема?9 из 10 распространенных злонамеренных приложений устанавливаются в систему с согласия пользователя!
По данным AVG Technologies заражение через социальную инженерии происходит в 4 раза чаще чем с помощью уязвимостей в ОС и приложениях любого производителя.
Новые социальные атакиПоддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google за счет рекламы. Заблокирован IE9 SmartScreen Filter
Атаки на альтернативные браузеры
Атаки Drive-By Download
2. IFrame секретно загружает
другую страницу
3. Страница перенаправляет
на другую страницу с эксплоитом
4. Если эксплоит сработал,
скачивается зловред и
заражает жертву
Пользователь Взломанный или злонамереный сайт
Перенаправление Сервер с эксплоитомСервер с вредоносом
1. Пользователь с уязвимой
системой посещаетстраницу с невидимым
IFrame
Уязвимости для Drive-By Download
Тестировалось на 500000 машин с известными уязвимостями. Результативность заражения 31%
37% - Java JRE32% - Adobe Reader и Acrobat16% - Adobe Flash. 10% - Internet Explorer 3% - Apple QuickTime2% - Центр справки и поддержки Windows
Исследование CSIShttp://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/
Windows 7 заражается в 5 раз меньше!
Обнаружение зловредного ПО на каждую 1000 запусков антивируса
Заражение руткитами по данным Avast Antivirus74% - Windows XP 17% - Windows Vista12% - Windows 7
Почему Windows 7 в 5 раз реже заражается?
Win7
SEHOP SEHOP
Включено по умолчанию
Heap terminate
Heap terminate
Выключено по умолчанию DEP DEP
ASLR ASLR
Vista SP1, SP2
SEHOP SEHOP SEHOP
Heap terminate
Heap terminate
Heap terminate
DEP DEP DEP ASLR ASLR ASLR
Vista RTM
SEHOP SEHOP
Heap terminate
Heap terminate
DEP DEP ASLR ASLR
XP SP3
SEHOP SEHOP SEHOP Heap terminate
Heap terminate
Heap terminate
DEP DEP DEP ASLR ASLR ASLR
XP SP2
SEHOP SEHOP SEHOP Heap terminate
Heap terminate
Heap terminate
DEP DEP DEP ASLR ASLR ASLR
IE 6 IE 7 IE 8 IE 9
Windows XP Windows Vista Windows 70
10
20
30
40
50
60
70
Критические уязвимости через год после выпуска
Как защищаться?Обучать пользователей защите от
социальной инженерии.
Smart Screen в Internet Explorer
защищает от 99% социальных атак.
Обновлять системы и приложения.
Большинство атак выполняется с
использованием очень старых
уязвимостей
Enhanced Mitigation Experience Toolkit (EMET)
v2.0
Как защищаться?Работа в системе с правами обычного пользователя предотвращает атаки на:
75% - критических уязвимостей Windows 7100% - уязвимостей Microsoft Office опубликованных в 2010 г.100% - уязвимостей Internet Explorer опубликованных за 2010 г.64% всех уязвимостей в продуктах Microsoft опубликованных в 2010 г.
Исследование BeyondTrust за 2010 г
Ботнеты
Топ 25 ботнетов Семейство
Удалено в 1 кв 2010
Удалено в 2 кв 2010 Тенденция
1 Win32/Rimecud 1,807,773 1,748,260 -3.3% ▼2 Win32/Alureon 1,463,885 1,035,079 -29.3% ▼3 Win32/Hamweq 1,117,380 779,731 -30.2% ▼4 Win32/Pushbot 474,761 589,248 24.1% ▲5 Win32/IRCbot 597,654 388,749 -35.0% ▼6 Win32/Koobface 222,041 383,633 72.8% ▲7 Win32/FlyAgent 221,613 293,432 32.4% ▲8 Win32/Virut 227,272 284,519 25.2% ▲9 AutoIt/Renocide 167,041 178,816 7.0% ▲
10 Win32/Hupigon 178,706 177,280 -0.8% ▼11 Win32/Sdbot 125,466 146,922 17.1% ▲12 Win32/Nuwar 8,098 133,951 1554.1% ▲13 Win32/Bubnix 91,144 132,771 45.7% ▲14 Win32/Zbot 107,363 131,078 22.1% ▲15 Win32/Ursap 121,239 121,302 0.1% ▲16 Win32/Rbot 145,107 110,316 -24.0% ▼17 Win32/Pasur 95,040 91,612 -3.6% ▼18 Win32/Rustock 82,712 52,312 -36.8% ▼19 Win32/Slenfbot 56,898 51,228 -10.0% ▼20 Win32/Bagle 48,326 34,240 -29.1% ▼21 Win32/Tofsee 29,367 32,031 9.1% ▲22 Win32/Bifrose 28,966 30,466 5.2% ▲23 Win32/Waledac 83,580 29,816 -64.3% ▼24 Win32/Prorat 26,913 25,726 -4.4% ▼25 Win32/Trenk 24,093 21,749 -9.7% ▼
Распределение ботнетов по странам
Страна Удалено в 1 кв 2010Удалено в 2 кв
2010Ботов на 1000
проверенных ПК
1 United States 2,163,216 2,148,169 5.2
2 Brazil 511,002 550,426 5.2
3 Spain 485,603 381,948 12.4
4 Korea 422,663 354,906 14.6
5 Mexico 364,554 331,434 11.4
6 France 344,743 271,478 4.0
7United
Kingdom251,406 243,817 2.7
8 China 227,470 230,037 1.0
9 Russia 181,341 199,229 4.3
10
Germany 200,016 156,975 1.4
11
Italy 191,588 130,888 2.6
12
Turkey 91,262 98,411 4.7
13
Canada 96,834 87,379 1.4
14
Netherlands 115,349 77,466 2.5
15
Colombia 76,610 71,493 5.8
16
Portugal 83,379 68,903 5.7
17
Australia 72,903 66,576 2.8
18
Poland 87,926 62,704 3.9
19
Taiwan 52,915 54,347 3.4
20
Japan 63,202 52,827 0.6
Linux и Android ботнетыPsyb0t 100.000 ADSL зараженных маршрутизаторов Netcomm NB5.
Заражает прошивки OpenWRT и DD-WRT. Подбирает пароли SSH, FTP, telnet Атакует phpMyAdmin и MySQL.
Chuck Norris - Аналогичен PsyB0t + атакует ТВ приставки
Ботнеты на Android от 40 до 150000http://s1.securityweek.com/report-reveals-emerging-trend-android-botnet-infections http://www.xakep.ru/post/58265/default.asp
Ботнет в действии1) Злоумышленник создает зловред сам или покупает его на рынке. Затем использует его для заражения целей или продает другим.
2) Доступ к части ботнета продается другим злоумышленникам
4) Ресурсы ботнета
используются для множества
аттак одновременно
5) Свободные ресурсы используются для
заражения и добавления новых узлов в ботнет
3) Доступ к ботнету получен
Рынок ботнетов
Цена за тысячу зараженных компьютеров:
• США и Великобритания – от 110$ до 180$.
• Европа - от 20$ до 60$.
• Другие страны - менее 10$.
Цена варьируется в зависимости от того что
можно найти на зараженных ПК и скорости
подключения в Интернет.
Изготовление ботнетовБотнет комплекты в продаже:• Zbot (Zeus)• Spyeye• Mariposa• Black Energy• ButterFly• Reptile• Zombiem• Ice-X
Цена на комплект варьируется от 10000$ до 5$.
Справится даже ребенок!
Управление ботнетом Zbot
Управление ботнетом ZbotАналог облачных вычислений:
• Выполняет задачи нескольких заказчиков одновременно
• Эластичен и представляет почти безграничные ресурсы
• Оплата за потребляемые ресурсы
Управление ботнетом Zbot
Логины и пароли собранные ботами с зараженных систем
Обнаружение активности ботнетов
Все остальные
Все остальные
Grum
GrumBobax
BobaxCutwail
CutwailRustock
Rustock
Lethic
Lethic
Storm
Спам сообщений IP адреса узлов отправителей
Поведение ботнета при рассылке спама
Lethic крайне агрессивно рассылает спам с малого количества IP адресов.
Rustock использует много IP адресов и шлет с каждого понемногу.
За счет этого обнаружить Rustock сложнее.
Типовая структура ботнета
Механизмы управления C&C узлами
IRC38.2%
HTTP29.1%
P2P2.3%
Другое
30,5%
Варианты уничтожения ботнета
• Судебный иск и захват С&C узлов• DDoS на С&C узлы• Жалобы провайдеру• Захват DNS имен• Блокирование IP адресов• Арест владельца ботнета
Операция b49
Захват ботнета Waledac
Структура ботнета Waledac
277 DNS имен Waledacbestchristmascard.com bestmirabella.com bestyearcard.com blackchristmascard.com cardnewyear.com cheapdecember.com christmaslightsnow.com decemberchristmas.com directchristmasgift.com eternalgreetingcard.com freechristmassite.com freechristmasworld.com freedecember.com funnychristmasguide.com greatmirabellasite.com greetingcardcalendar.com greetingcardgarb.com greetingguide.com greetingsupersite.com holidayxmas.com topgreetingsite.com whitewhitechristmas.com worldgreetingcard.com yourchristmaslights.com yourdecember.com yourmirabelladirect.com
newyearcardcompany.com newyearcardfree.com newyearcardonline.com newyearcardservice.com smartcardgreeting.com superchristmasday.com superchristmaslights.com superyearcard.com themirabelladirect.com themirabellaguide.com themirabellahome.comyourregards.com youryearcard.com bestbarack.com greatobamaguide.com greatobamaonline.com jobarack.com superobamadirect.com superobamaonline.com thebaracksite.com topwale.com waledirekt.com waleonline.com waleprojekt.com goodnewsdigital.com goodnewsreview.com
linkworldnews.com reportradio.com spacemynews.com wapcitynews.com worldnewsdot.com worldnewseye.com worldtracknews.com bestgoodnews.com adorelyric.com adorepoem.com adoresongs.com bestbaracksite.com bestobamadirect.com expowale.com bestadore.com bestlovelong.com funloveonline.com youradore.com yourgreatlove.com orldlovelife.com romanticsloving.com adoresong.com bestlovehelp.com chatloveonline.com cherishletter.com cherishpoems.com
lovecentralonline.com lovelifeportal.com whocherish.com worldlovelife.com worshiplove.com yourteamdoc.com yourdatabank.com alldatanow.com alldataworld.com cantlosedata.com justchristmasgift.com lifegreetingcard.com livechristmascard.com
Узлы маршрутизаторы Waledac
P2P обмен внутри Waledac с помощью fast flux DNS
Проксирование траффика Waledac
Судебный иск
Захват С & C доменов
Официальное уведомление
Захват Waledac
Hotmail заблокировал 651 миллион
соединений от ботнета
Waledac-за 18 дней
Waledac входит в 10
крупнейших ботнетов в 39
странах
Уведомление о решении суда www.noticeofpleadings.com
Отравление Waledac
Активные IP адреса ботнета Waledac
2-й квартал 2010 г.
Активные IP адреса ботнета Waledac
Январь 2011 г.
После захватаБез команд с C&C сервера боты впадают в спячку.
MS не может удалить ботов с зараженных ПК. Это будет вмешательством в частную жизнь.
Образцы ботов добавляются в антивирусные продукты MS и других производителей. Обмен образцами идет через Microsoft Active Protection Program (MAPP)
Интернет провайдерам сообщаются адреса зараженных машин через программу Global Infrastructure Alliance for Internet Safety
Пользователям рекомендуется использовать:Malicious Software Removal ToolMicrosoft Safety ScannerMicrosoft Security Essentials
Постепенно боты удаляются антивирусами.
Уничтожение других ботнетовОперация b49 Захват ботнета Waledac 1.5 миллиардов спам сообщений ежедневно. В процессе исследования найдено полмиллиона паролей от почтовых ящиков пользователей и ftp серверов.
Операция b107Захват ботнета Rustock. В пике своей активности рассылал 80% мирового спама. Примерно 2000 спам сообщений в секунду.
Захват ботнета CorefloodФБР при содействии Microsoft захватила ботнет Coreflood отвечающий за финансовые преступления на сумму 100 миллионов долларов
Операция b79Захват ботнета KelihosСовместная операция Лаборатории Касперского и Microsoft. Kelihos можно назвать Waledac 2.0
Вопросы?
http://beshkov.ru http://twitter.com/abeshkov [email protected]
Дополнительные ресурсыhttp://blogs.technet.com/mmpc/http://blogs.technet.com/msrc/http://www.microsoft.com/security/sdl/http://www.microsoft.com/security/sir/