Botnety i cyberwaluta

Jednym z największych botnetów w historii złośliwego oprogramowania był ZeroAccess, który jako jeden z niewielu w tej skali umożliwił cyberprzestępcom nielegalne zarobki w wirtualnej walucie bitcoin.

Botnet ZeroAccess był jedną z największych znanych podziemnych sieci utworzonych z przejętych komputerów. W sierpniu br. obserwowano połączenia od ponad 1,9 mln komputerów każdego dnia. W odróżnieniu od niegdyś popularnego Zeusa botnet ten w pełni korzystał z protokołu peer-to-peer przy zestawieniu połączeń związanych z kontrolą pracy sieci. Wykorzystanie modelu rozproszonego sprawia, że botnet staje się odporny na próby przejęcia polegające na zablokowaniu domeny lub serwera kontrolującego pracę. Jest też odporny na awarie. Ponieważ nie istnieje centralizowana infrastruktura serwerów zarządzających botnetem, nie można zablokować domeny lub wyłączyć serwerów, by zablokować botnet.

Zdecentralizowana sieć

Po infekcji komputera, gdy staje się on częścią botnetu, złośliwe oprogramowanie łączy się z pewną liczbą innych komputerów, które są już częścią sieci peer-to-peer tworzącej tę podziemną sieć. W ten sposób każdy z botów ma listę innych członków botnetu i dzięki sprawnej komunikacji dystrybucja plików i zadań wewnątrz sieci do wszystkich komputerów zombie odbywa się szybko i sprawnie. Połączenia są utrzymywane cały czas, a lista komputerów w podziemnej sieci jest regularnie aktualizowana, podobnie wprowadzane są poprawki oraz informacje o konfiguracji sieci i oprogramowania. Dzięki całkowicie zdecentralizowanej strukturze zamknięcie sieci utworzonej przez złośliwe oprogramowanie ZeroAccess jest bardzo trudne, a cała sieć staje się odporna na próby przejęcia z użyciem typowych narzędzi, takich jak przekierowanie ruchu na routerze czy przejęcie kontroli nad domenami DNS.

Uwolnić zombie

Inżynierowie firmy Symantec pracowali nad tym botnetem od kilku miesięcy, w marcu 2013 r. rozpoznali mechanizm wykorzystywany przez boty ZeroAccess do realizacji połączeń w rozproszonej sieci. Celem rozpoznania było wypracowanie metody przejęcia komunikacji podziemnej sieci, a następnie zamknięcia całego botnetu. Dokładna analiza udowodniła, że zamknięcie botnetu jest możliwe, chociaż nie będzie to prosta operacja. Dalsze testy w kontrolowanym środowisku laboratoriów wskazały na możliwość uwolnienia botów spod kontroli podmiotów zarządzających – botmasterów.

W tym czasie inżynierowie prowadzili intensywny monitoring i udało się przejąć nową wersję oprogramowania, która usuwała podatność niezbędną do przejęcia całego botnetu. O luce w protokole peer-to-peer stosowanym przy konstrukcji botnetu ZeroAccess dyskutowali badacze, w maju 2013 r. opublikowali dokument wskazujący na możliwość wykorzystania jej do zamknięcia wszystkich sieci bazujących na tym protokole. Wprowadzona aktualizacja uniemożliwiłaby zamknięcie sieci, a zatem uczeni stanęli przed decyzją: albo natychmiast rozpoczną akcję zamykania botnetu, albo utracą inicjatywę i badania trzeba będzie prowadzić od nowa z nieznanym skutkiem. Proces zamknięcia sieci zainfekowanych komputerów przez uwolnienie spod władzy botmasterów rozpoczęto 16 lipca. Specjalistom wystarczyło zaledwie pięć minut aktywności w sieci peer-to-peer, by uwolnić bota.

Działania prowadzono równolegle i poprzedzono dokładnymi testami w laboratorium. Operacja przyniosła oczekiwany skutek, uwolniono ponad 0,5 mln botów, zadając silny cios w dobrze zorganizowaną strukturę sieci. Jednocześnie radykalnie zmniejszono przychody cyberprzestępców.


TOP 200