Wykryto niezniszczalny botnet

Eksperci bezpieczeństwa wykryli nowy botnet TDL-4. Komunikowanie się poprzez sieci P2P z serwerami kontroli i zaawansowane szyfrowanie czynią go "bardzo trudnym do zniszczenia"

Obraz
Źródło zdjęć: © Eset

Eksperci bezpieczeństwa wykryli nowy botnet TDL-4. Komunikowanie się poprzez sieci P2P z serwerami kontroli i zaawansowane szyfrowanie czynią go "bardzo trudnym do zniszczenia" - poinformował magazyn Computerworld.

TDL-4 został wykryty w połowie czerwca br. przez kilka ekip analityków bezpieczeństwa z różnych firm antywirusowych. Jak twierdzą badający go eksperci, należy on obecnie do najbardziej zaawansowanych technicznie sieci złożonych z przejętych przez hackerów komputerów.

Botnety służą do rozsyłania spamu, phishingu, operacji typu fastflux czyli udostępniania różnego typu nielegalnego oprogramowania jak np. trojany, ataków niszczących sieci firm i instytucji przez ich zablokowanie (ataki DDOS), a także włamań i oszustw. Często są wynajmowane na godziny przez hackerów, którzy przejęli komputery i zajmują się tylko administrowaniem i utrzymywaniem botnetu.

Obraz
© (fot. Eset)

TDL-4 znacząco różni się od innych botnetów. Złośliwy kod, za pomocą którego przejmowane są komputery w tym botnecie trafia do głównego sektora rozruchowego dysku twardego (Master Boot Record - MBR) komputera ofiary. MBR to pierwszy sektor dysku twardego, gdzie znajduje się segment rozruchowy systemu operacyjnego, uruchamiany zaraz po starcie BIOS-u - stałej pamięci zawierającej podstawowe procedury pozwalające na uruchomienie komputera. Umiejscowienie tam złośliwego kodu powoduje, że jest on niewidoczny zarówno dla systemu operacyjnego jak i dla wielu rodzajów oprogramowania antywirusowego.

Według ekspertów bezpieczeństwa - Siergieja Gołowanowa z Kaspersky Lab i Joe'go Stewarta z Dell SecureWorks, botnet posiada system komunikacji bardzo utrudniający jego namierzenie i zniszczenie. Przejęte komputery we wszystkich botnetach sterowane są przez serwery C&C (Command & Control) zwane serwerami zarządzania. Komputery należące do TDL-4 używają sieci peer-to-peer (P2P) wykorzystywanych zwykle w internecie do udostępniania plików, jako jednego z kanałów komunikacji komputerów z serwerami zarządzania.

Stosują one ponadto w komunikacji bardzo silne szyfrowanie, co dodatkowo utrudnia namierzenie serwerów C&C; algorytm tego szyfrowania został opracowany przez twórców botnetu, a jeden z kluczy stanowią nazwy domen w których znajdują się serwery C&C.

TDL-4 należy do kategorii wielkich botnetów, ale nie jest jednym z największych - liczy sobie około 4,5 mln przejętych komputerów. Największy botnet, Mariposa , rozbita w marcu 200. przez policję hiszpańską i FBI liczył 13 mln komputerów.

Stewart uważa że TDL-4 jest siecią "biznesową", wynajmowaną do różnych zadań za opłatą, ma więc działać jak najdłużej. Stąd jego konstruktorzy zaimplementowali w jego złośliwym oprogramowaniu, funkcję odnajdywania koni trojańskich, ułatwiających przejęcie komputera na potrzeby innych botnetów np. trojana Zeus. Po odnalezieniu taka "konkurencja" jest kasowana z systemu przejętego komputera.

Dodatkowo TDL-4 jest w stanie zainstalować około 3. rodzajów złośliwego kodu na przejętym komputerze, służącego do różnych celów m.in. keyloggerów, wysyłających informacje o tym co pisał na klawiaturze użytkownik, oprogramowania wspomagającego ataki DDOS czy rozsyłanie spamu. Posiada przy tym możliwości odinstalowania każdego rodzaju złośliwego kodu, który sam ściągnął na przejęty komputer. Zdaniem Stewarta to następny dowód na biznesowy charakter botnetu, instalującego złośliwe oprogramowanie zależnie od wymagań wynajmującego.

Zdaniem ekspertów, fakt że siły policyjne podejmują transgraniczną współpracę w celu zniszczenia botnetów ( w taki właśnie sposób zostały wyłączone botnety Mariposa i Coreflood), stanowi dla hackerów wyzwanie, aby stworzyć rozwiązania z którymi eksperci bezpieczeństwa i siły policyjne nie dadzą sobie rady.

Bądź bezpieczny, pobierz IE 9 i wygraj nagrody zobacz więcej >>

Źródło artykułu:
Wybrane dla Ciebie
Pomogą budować bazę na Marsie. To dwie bakterie
Pomogą budować bazę na Marsie. To dwie bakterie
Badają grzyb z Czarnobyla. Może chronić przed promieniowaniem
Badają grzyb z Czarnobyla. Może chronić przed promieniowaniem
Rosyjskie rafinerie płoną coraz częściej. Listopad był rekordowy
Rosyjskie rafinerie płoną coraz częściej. Listopad był rekordowy
Rozstrzygnięcie programu Karkonosze. Powietrzne tankowce dla Polski
Rozstrzygnięcie programu Karkonosze. Powietrzne tankowce dla Polski
Trump zapowiada zakupy. To najdroższe samoloty wojskowe w historii
Trump zapowiada zakupy. To najdroższe samoloty wojskowe w historii
Niemieckie rakiety. Trafią do amerykańskich wyrzutni?
Niemieckie rakiety. Trafią do amerykańskich wyrzutni?
Skala tych dżetów w głowie się nie mieści. Galaktyka to za mało
Skala tych dżetów w głowie się nie mieści. Galaktyka to za mało
Klęska urodzaju dla Niemiec. Skyrangery powstaną w fabryce motoryzacyjnej
Klęska urodzaju dla Niemiec. Skyrangery powstaną w fabryce motoryzacyjnej
Słynne drony jak AWACS-y. Będą kontrolować przestrzeń powietrzną
Słynne drony jak AWACS-y. Będą kontrolować przestrzeń powietrzną
BWP Taimas. Turecko-chińska hybryda dla Kazachstanu
BWP Taimas. Turecko-chińska hybryda dla Kazachstanu
Nowa siła NATO. Chcą mieć ponad 400 takich wozów
Nowa siła NATO. Chcą mieć ponad 400 takich wozów
Zbudowali własnego "HIMARS-a". Postawili go na radzieckim wozie
Zbudowali własnego "HIMARS-a". Postawili go na radzieckim wozie
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥