Egyre ellenállóbbak a zombihálózatok

A fertőzött számítógépekből felépülő hálózatokat üzemeltető csoportok egyre több olyan technikát vetnek be, amelyek révén mind nehezebbé válik a tevékenységük megakadályozása.
 

A hatóságok, a biztonsági cégek és a kártékony hálózatokat, botneteket üzemeltető bűnözők között már régóta komoly küzdelem folyik. A hatóságok célja, hogy ezeket a káros hálózatokat felszámolják, miközben a kiberbűnözők a botnetek kiterjesztésén és minél hosszabb ideig történő életben tartásán munkálkodnak. Az ilyen módon kialakuló csatározásban már több botnetet sikerült megbénítani, igaz voltak olyanok, amelyek egy idő után ismét életre keltek.

Legutóbb az FBI és a Microsoft számolt be egy sikeres akcióról, aminek során a Citadel nevű zombihálózat méregfogát húzták ki. Ez a botnet becslések szerint 5 millió PC-t foglalt magában, és főleg banki adatok (felhasználónevek és jelszavak) gyűjtését szolgálta. Másfél év alatt megközelítőleg fél milliárd dolláros kárt okozott. Ez is jól mutatja, hogy a kiberbűnözők számára a botnetek életben tartása rendkívül fontos, és mindent elkövetnek azért, hogy a hálózataikat ne lehessen egyszerűen térdre kényszeríteni.

Középpontban a P2P

A Damballa cég kutatói az elmúlt időszakban arra lettek figyelmesek, hogy egyre több botnet esetében jelennek meg P2P (Peer-to-Peer) technikák. Ezek legfontosabb feladata, hogy biztosítsák a hálózatok nagyobb fokú elosztottságát. Vagyis ha a hatóságoknak sikerül lekapcsolniuk egy vezérlőszervert, attól a botnet még életképes marad.  Ráadásul ezzel a hálózati kommunikáció vizsgálata valamint a fehérlistás és hírnévalapú szűrési eljárások hatékonysága is csökken, ami a védelemre mindenképpen negatív hatást gyakorol. A Damballa szerint a P2P-technikák adta lehetőségekkel egyre gyakrabban élnek az olyan hírhedt károkozókra épülő botnetek is, mint amilyen például a ZeroAccess, a Zeus vagy a TDL4/TDSS. Most röviden áttekintjük, hogy ezek a károkozót mire képesek.

ZeroAcceess

A ZeroAcceess egy rejtőzködési célokkal kifejlesztett, rootkit összetevőre épülő kártékony program, amely az esetek jelentős részében reklám- vagy kattintásalapú csalásokban jut szerephez, de BitCoin manipulációktól sem riad vissza. Fontos jellemzője, hogy számos olyan, úgynevezett exploit csomag tartozik hozzá, amelyek szoftveres sérülékenységek kihasználását teszik lehetővé. Így például a Blackhole, a Neosploit és a Sweet Orange kiteket is beveti. Mindezek mellett képes további nemkívánatos fájlokat feljuttatni a már amúgy is fertőzött számítógépekre. A PC-ket egy botnethez csatlakoztatja, amelyben P2P-alapon kommunikál a többi rendszerrel.

Zeus

A Zeus trójai elsősorban banki adatok eltulajdonításából veszi ki a részét. Banki szolgáltatásokhoz tartozó felhasználóneveket, jelszavakat valamint egyéb pénzügyi információkat juttat illetéktelen kezekbe. A billentyűleütések naplózása mellett egyes variánsai képesek a banki tranzakciók manipulálására is. A Zeusról is elmondható, hogy egyre jelentősebb mértékben támaszkodik az elosztott, P2P architektúrájú botnetekre. Azonban arra az esetre is felkészítették a vírusírók, ha egyetlen vezérlőszervert sem sikerülne elérnie. Ekkor egy DGA (Domain Generation Algorithm) algoritmus segítségével minden egyes nap ezer különféle domain nevet generál. Ha a terjesztői ezek közül valamelyiket beregisztrálják, akkor a trójaival fertőzött számítógépekkel való kommunikáció ismét felépül.

TDL4/TDSS

A TDL trójai programok családja is régi motorosnak számít. Még évekkel ezelőtt azzal került a figyelem középpontjába, hogy a rendszerlemezeken található MBR-t (Master Boot Record) fertőzte meg. Ezáltal a felismerése és az eltávolítása is jelentősen nehezebbé vált, hiszen már a Windows betöltődése előtt képes volt bekerülni a memóriába, és akár újból és újból visszafertőzni az operációs rendszert. A károkozó e tulajdonsága a mai napig megmaradt, viszont szokásává vált a P2P-hálózatokhoz való csatlakozás. Ugyanakkor azt is meg kell említeni, hogy a Zeushoz hasonlóan ez a kártékony program is rendelkezik DGA-algoritmusokkal, így az általa kialakított botnetek ellenálló képességét több szempontból is tudja növelni.

A fenti ártalmas programok valamint az általuk felépített botnet hálózatok ellen naprakészen tartott, többszintű védelmet kínáló biztonsági alkalmazásokkal, illetve biztonságtudatos számítógéphasználattal lehet a leghatékonyabban védekezni.