Wykryto niezniszczalny botnet
Eksperci bezpieczeństwa wykryli nowy botnet TDL-4. Komunikowanie się poprzez sieci P2P z serwerami kontroli i zaawansowane szyfrowanie czynią go "bardzo trudnym do zniszczenia"
01.07.2011 | aktual.: 01.07.2011 12:35
Eksperci bezpieczeństwa wykryli nowy botnet TDL-4. Komunikowanie się poprzez sieci P2P z serwerami kontroli i zaawansowane szyfrowanie czynią go "bardzo trudnym do zniszczenia" - poinformował magazyn Computerworld.
TDL-4 został wykryty w połowie czerwca br. przez kilka ekip analityków bezpieczeństwa z różnych firm antywirusowych. Jak twierdzą badający go eksperci, należy on obecnie do najbardziej zaawansowanych technicznie sieci złożonych z przejętych przez hackerów komputerów.
Botnety służą do rozsyłania spamu, phishingu, operacji typu fastflux czyli udostępniania różnego typu nielegalnego oprogramowania jak np. trojany, ataków niszczących sieci firm i instytucji przez ich zablokowanie (ataki DDOS), a także włamań i oszustw. Często są wynajmowane na godziny przez hackerów, którzy przejęli komputery i zajmują się tylko administrowaniem i utrzymywaniem botnetu.
TDL-4 znacząco różni się od innych botnetów. Złośliwy kod, za pomocą którego przejmowane są komputery w tym botnecie trafia do głównego sektora rozruchowego dysku twardego (Master Boot Record - MBR) komputera ofiary. MBR to pierwszy sektor dysku twardego, gdzie znajduje się segment rozruchowy systemu operacyjnego, uruchamiany zaraz po starcie BIOS-u - stałej pamięci zawierającej podstawowe procedury pozwalające na uruchomienie komputera. Umiejscowienie tam złośliwego kodu powoduje, że jest on niewidoczny zarówno dla systemu operacyjnego jak i dla wielu rodzajów oprogramowania antywirusowego.
Według ekspertów bezpieczeństwa - Siergieja Gołowanowa z Kaspersky Lab i Joe'go Stewarta z Dell SecureWorks, botnet posiada system komunikacji bardzo utrudniający jego namierzenie i zniszczenie. Przejęte komputery we wszystkich botnetach sterowane są przez serwery C&C (Command & Control) zwane serwerami zarządzania. Komputery należące do TDL-4 używają sieci peer-to-peer (P2P) wykorzystywanych zwykle w internecie do udostępniania plików, jako jednego z kanałów komunikacji komputerów z serwerami zarządzania.
Stosują one ponadto w komunikacji bardzo silne szyfrowanie, co dodatkowo utrudnia namierzenie serwerów C&C; algorytm tego szyfrowania został opracowany przez twórców botnetu, a jeden z kluczy stanowią nazwy domen w których znajdują się serwery C&C.
TDL-4 należy do kategorii wielkich botnetów, ale nie jest jednym z największych - liczy sobie około 4,5 mln przejętych komputerów. Największy botnet, Mariposa , rozbita w marcu 200. przez policję hiszpańską i FBI liczył 13 mln komputerów.
Stewart uważa że TDL-4 jest siecią "biznesową", wynajmowaną do różnych zadań za opłatą, ma więc działać jak najdłużej. Stąd jego konstruktorzy zaimplementowali w jego złośliwym oprogramowaniu, funkcję odnajdywania koni trojańskich, ułatwiających przejęcie komputera na potrzeby innych botnetów np. trojana Zeus. Po odnalezieniu taka "konkurencja" jest kasowana z systemu przejętego komputera.
Dodatkowo TDL-4 jest w stanie zainstalować około 3. rodzajów złośliwego kodu na przejętym komputerze, służącego do różnych celów m.in. keyloggerów, wysyłających informacje o tym co pisał na klawiaturze użytkownik, oprogramowania wspomagającego ataki DDOS czy rozsyłanie spamu. Posiada przy tym możliwości odinstalowania każdego rodzaju złośliwego kodu, który sam ściągnął na przejęty komputer. Zdaniem Stewarta to następny dowód na biznesowy charakter botnetu, instalującego złośliwe oprogramowanie zależnie od wymagań wynajmującego.
Zdaniem ekspertów, fakt że siły policyjne podejmują transgraniczną współpracę w celu zniszczenia botnetów ( w taki właśnie sposób zostały wyłączone botnety Mariposa i Coreflood), stanowi dla hackerów wyzwanie, aby stworzyć rozwiązania z którymi eksperci bezpieczeństwa i siły policyjne nie dadzą sobie rady.