Ботнеты, как наиболее актуальные угрозы безопасности


Ботнет — это сеть компьютеров, зараженных вредоносной программой, позволяющая преступным группировкам удаленно управлять зараженными машинами без ведома пользователя. Большинство современных ботов являются многофункциональными вредоносными приложениями, позволяющими злоумышленникам реализовывать широкий ассортимент различных угроз.

Типичными представителями являются:

  • Win32.Rmnet.12 — файловый вирус, в сети насчитывается более 4 млн. инфицированных узлов, работающих под управлением Microsoft Windows;
  • Win32.Rmnet.16 — файловый вирус, в сети насчитывается более 400 тыс. инфицированных узлов, работающих под управлением Microsoft Windows;
  • Backdoor.Flashback.39 — троянская программа для Mac OS X. В пиковый период было заражено более 800 000 машин;
  • Backdoor.Andromeda.22 — троян-бот, обладающий широким вредоносным функционалом, и используемый, в основном, для загрузки на инфицированный компьютер других троянских программ;
  • Trojan.WinSpy — обширное семейство вредоносных программ, некоторые из них используют руткит-технологии. Часто используется для загрузки на инфицированный компьютер других вредоносных приложений.


Цели ботнетов
Использование ботнетов в следующих целях:

  • Загрузка и установка на инфицированный компьютер по команде с удаленного сервера других вредоносных программ - трояны-даунлоадеры. Например, вредоносы семейства Backdoor.Andromeda.22.

  • DDoS-атаки (Distributed Denial-of-Service) на отдельные сайты и веб-сервисы. Сетевые атаки могут использоваться в целях вымогательства, давления на конкурентов, дискредитации перед потенциальными клиентами.

  • Распространение спама с использованием инфицированных рабочих станций. При этом спам рассылается не только в виде электронной почты, но и в социальных сетях, форумах, блогах.

  • Удаленное управление инфицированными компьютерами, возможность хищения хранящихся на локальных дисках файлов.

  • Прямое вымогательство финансовых средств у пользователя инфицированного компьютера (Trojan.Mayachok.1).

  • Хищение конфиденциальной информации методом анализа трафика, осуществления веб-инжектов, похищения файлов cookies, кейлоггинга (перехвата нажатий клавиш), пересылки злоумышленникам снимков экрана, иных методов (Win32.Rmnet.12, Win32. Rmnet.16).

  • Хищение информации для доступа к системам дистанционного банковского обслуживания (ДБО), что позволяет злоумышленникам получить доступ к банковским счетам предприятия (Trojan.PWS.Panda, Trojan.Carberp).

  • Перенаправление браузера пользователя на принадлежащие злоумышленникам веб-страницы с различными целями: фишинг, загрузка на компьютер пользователя вредоносного ПО с использованием уязвимостей, "накрутка" посещаемости некоторых интернет-ресурсов.

  • Использование инфицированных компьютеров в качестве прокси-серверов для анонимизации доступа злоумышленников в Интернет.


С помощью инфицированного компьютера, злоумышленники могут:

  • установить на инфицированную рабочую станцию необходимую для себя программу (в том числе вредоносную);
  • просматривать любые хранящиеся на компьютере файлы и совершать с ними различные действия;
  • использовать инфицированный компьютер в качестве промежуточного узла при работе в Интернете, а также совершать различные противоправные действия. В файлах журналов атакованных узлов при этом останется IP-адрес инфицированного компьютера;
  • перехватывать пароли от различных приложений, FTP-клиентов, интернет-сервисов, служб электронной почты;
  • получать снимки экрана и перехватывать изображение с подключенной к компьютеру веб-камеры;
  • анализировать и перенаправлять сетевой трафик с различными целями. Перенаправление может происходить в зависимости от заданных условий и от введенных пользователем поисковых запросов;
  • подменять открываемые в браузере веб-страницы, в том числе для получения несанкционированного доступа к системам дистанционного банковского обслуживания (ДБО);
  • отдавать установленной на инфицированном ПК вредоносной программе различные команды;
  • полностью уничтожить операционную систему на зараженном компьютере.


Последствия для владельцев взломанных машин

  • Рассылка от имени жертвы спам-сообщений по электронной почте и в социальных сетях.
  • Дискредитация паролей к FTP-клиентам и панелям управления веб-сайтами (CMS) позволит злоумышленникам устанавливать на принадлежащие жертве веб-сайты скриптов, осуществляющих перенаправление посетителей на принадлежащие злоумышленникам веб-страницы или загрузку на их компьютеры вредоносного ПО.
  • Получение злоумышленниками несанкционированного доступа к системам "Банк-Клиент" и другим системам ДБО.
  • Получение злоумышленниками несанкционированного доступа к счетам пользователя в электронных платежных системах (WebMoney, "Яндекс. Деньги" и т. д.).


Попадание в ботнет может привести к:

  • отключению провайдером доступа в Интернет при выявлении фактов распространения из инфицированной сети вредоносного ПО, спама или массового DDoS-трафика;
  • значительному снижению быстродействия инфицированных рабочих станций и локальной сети;
  • отказу ОС на отдельных инфицированных компьютерах.


Типичные пути заражения
В большинстве случаев заражение происходит:

  • Путем саморепликации вредоносной программы - самостоятельного (без участия пользователя) копирования вредоносной программы на сменные носители и общедоступные ресурсы локальной сети с заражением исполняемых файлов, динамических библиотек и других типов файловых объектов. Подобным образом распространяются файловые вирусы, такие как Win32.Rmnet.16 или Win32.Rmnet.12, заразивший более 4 млн. компьютеров по всему миру.

  • Путем загрузки на инфицированный компьютер другими вредоносными программами (Backdoor.Andromeda.22).

  • При посещении инфицированных веб-сайтов и в момент просмотра веб-страниц, содержащих известные уязвимости браузеров или ОС. Жертва может даже не заметить самого момента заражения (Backdoor.Flashback.39).

  • При открытии вложений в сообщения электронной почты, полученные в спам-рассылке.

  • С использованием методов социальной инженерии. Например, для просмотра размещенного на сайте видеоролика пользователю предлагается загрузить кодек или обновление, под видом которого распространяется вредоносная программа.

  • С применением специально "забытых" и заранее инфицированных флешек либо других носителей информации.


Методы противодействия обнаружению
Некоторые вредоносные программы могут использовать следующие методы противодействия их обнаружению:

  • Антиотладка. Вредоносная программа пытается определить, не запущена ли она в виртуальной машине, не загружен ли на инфицируемом компьютере отладчик или антивирусная программа (например, методом перечисления запущенных процессов).

  • Использование руткит-технологий. В частности, с применением специальных драйверов файловой системы вредоносная программа может скрыть присутствие своих компонентов на диске зараженного компьютера.

  • Заражение главной загрузочной записи (MBR), хранение компонентов за пределами таблиц разделов. Некоторые вредоносные программы могут инфицировать главную загрузочную запись (MBR) и сохранять свои компоненты в свободной области дискового пространства. Получив управление в процессе загрузки ОС, троян считывает хранящиеся за пределами файловых таблиц модули непосредственно в оперативную память инфицированного компьютера.

  • Исполнение в контексте других запущенных процессов. Некоторые вредоносные программы имеют возможность встраиваться в запущенные процессы и работать "внутри" данных процессов.

  • Обфускация и криптование. С целью сбития сигнатурного детекта антивирусной программой, злоумышленники шифруют тело вредоносной программы с использованием различных программных упаковщиков . Иногда насчитывается до нескольких сотен зашифрованных различными упаковщиками модификаций одной и той же вредоносной программы.

  • Организация шифрованного виртуального диска (BackDoor.Tdss).

  • Блокировка и обход файерволов. Обеспечивает беспрепятственное получение управляющих сообщений. В том числе использование протокола SOCKS для получения доступа к сервисам.

  • Постоянное изменение реальных адресов управляющего сервера, генерация доменных имен по псевдослучайному принципу, благодаря этому все боты одновременно формируют один и тот же перечень имен — и обращаются к ним.


Методы перехвата информации

  • Перехват нажатий клавиш и получение скриншотов в реальном времени — для перехвата ввода с виртуальной клавиатуры.
  • Получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL.
  • Анализ трафика и перехват интересующих данных.
  • Получение любых импортируемых сертификатов, или использованных при удачной авторизации логинов/паролей. В том числе к приложениям, использующим протоколы POP3 и FTP вне зависимости от порта.
  • Перехват HTTP/HTTPS запросов.
  • Анализ и подмена страниц, используемых для ввода банковской информации. Кража TAN-кода (кода активации для проведения платежной операции).
  • Анализ передаваемых (POST) на определенные адреса данных.
  • Получение данных из буфера обмена.
  • Поиск интересующих файлов и данных с дальнейшим их удалением или закачкой на удаленный сервер.
  • Анализ файлов cookie (данных, связанных с определенным веб-сервером и хранимых на компьютере) и данных сохраненных форм.
  • Веб-инжекты — встраивание в веб-страницы постороннего кода.
  • Сбор и отправка на удаленный сервер информации о программно-аппаратной конфигурации ПК.


Рекомендуемые средства защиты

  • Постоянная антивирусная защита. Позволяет обнаруживать вредоносные файлы известных типов, а также вредоносные файлы, неизвестные антивирусу, но действующие в соответствии с известными антивирусному ядру алгоритмами действия.
  • Антивирусный сканер. С помощью глубокой проверки обнаруживаются угрозы, отсутствовавшие в вирусных базах на момент проникновения.
  • Система ограничения доступа. Позволяет ограничить количество посещаемых интернет-ресурсов до необходимого минимума.
  • Система ограничения использования внешних устройств. Позволяет исключить риск заражения с внешних устройств, в том числе флеш-накопителей.
  • Список разрешенных приложений. Позволяет уменьшить риск запуска неизвестных приложений без их предварительной проверки на безопасность.
  • Система проверки интернет-трафика. Позволяет исключить использование уязвимостей клиентского ПО, за счет проверки трафика до его поступления в приложения.
  • Система поверки интернет-ссылок. Позволяет исключить возможность перехода на зараженные и мошеннические ресурсы.
  • Firewall. Исключает возможность атак через открытые порты.
  • Своевременные обновления. Позволяют минимизировать возможность проникновения через известные уязвимости.


Кроме установки и настройки программных средств защиты, рекомендуется:

  • ограничить права пользователей;
  • не работать в системе с правами администратора;
  • использовать стойкие пароли.