Обзор одноранговых (P2P) ботнетов

Ботнеты - это сеть компьютеров, которые заражены и контролируются злоумышленником удалённо. На сегодняшний день они являются самой серьезной угрозой безопасности в интернете. Несмотря на то, что большинство бот-сетей полагаются на центральный сервер управления (C&C), относительно недавно появились более опасные одноранговые (P2P). Ботнеты P2P более устойчивы к применяемым защитным мерам безопасности, поскольку им не хватает серверов C&C обычных бот-сетей.

Централизованные Vs P2P ботнеты:

Ботнет состоит из сети зараженных компьютеров (ботов), с запущенным в них вредоносным программным обеспечением, которое было тихо установлено с помощью множества методов, включая червей, троянских коней и вирусов. Эти скомпрометированные машины или зомби-компьютеры контролируются удаленно злоумышленником или «ботмастера». Когда ботнет состоит из большого количества машин, он имеет огромную совокупную пропускную способность и надежные вычислительные возможности. Они эксплуатируются их владельцами для запуска различных видов вредоносных действий, включая массовую рассылку сообщений по электронной почте, взломы паролей и атак с отказами в обслуживании (DDoS).

В настоящее время централизованные бот-сети широко используются в мире киберпреступности. Они основываются на базе Internet Relay Chat (IRC), которые на сегодняшний день наиболее широко используются для распространения сообщений между бот-сетями и их ботмастерами. В рамках централизованной сети боты подключаются к одному или нескольким серверам для приема команд. Эта структура проста в дизайне и очень эффективна при распределении задач, но есть большая вероятность отказа; сервер управления и командования (C & C). Если IRC-сервер выключится, все боты потеряют связь со своим создателем. Кроме того, защитники могут контролировать данный бот-сет, создавая приманку, чтобы присоединиться к соответствующему каналу IRC.

Совсем недавно однопроцессорные P2P (например, Stormnet и Trojan.Peacomm botnet) были внедрены в систему, когда злоумышленники осознали ограничения традиционных централизованных бот-сетей. Аналогично сетям P2P, которые совместимы с динамическим оттоком (т. е. одноранговые соединения объединяются и выходят из сети с высокой скоростью), связь через бот-сеть не будет нарушена, если некоторое количество ботов потеряет связь с сетью.

В бот-сети P2P, не существует централизованного сервера, и боты обмениваются друг с другом топологическим образом, они действуют в качестве клиента и C&C сервера. Ботнеты P2P оказались намного эффективнее традиционных централизованных бот-сетей. Представляя новую эпоху, P2P бесспорно являются гораздо более мощными и с ними намного сложнее справиться специалистам, работающим в сфере безопасности.

Недавно исследователи обратили внимание на различные виды ботнетов P2P. Stormnet и Trojan.Peacomm botnet широко изучались, поскольку они представляют собой наиболее часто встречающуюся разновидность. Тем не менее, чтобы эффективно противодействовать этим новым формам бот-сетей, анализ каждого по очереди недостаточен. Кроме того, Р2Р ботнеты должны быть изучены систематически, что бы иметь возможность в должной мере защититься от них.

Одноранговая структура (P2P):

Создание ботнета P2P - это процесс, который состоит из двух этапов:

1. Злоумышленник должен заразить как можно больше машин в интернете, чтобы он мог удаленно их контролировать. Для этого можно использовать все виды вредоносных векторов, таких как вирусы, трояны, черви и мгновенные сообщения (IM);

2. Скомпрометированные машины будут выполнять конкретные действия, определенные ботмастерами. В зависимости от цели злоумышленника этот шаг может с каждым разом отличаться от предыдущего, (например, DDoS-атаки, кейлоггинг, спам и т. д.) На протяжении этого шага боты действуют как оба клиента, выполняя действия, предопределенные ботмастером.

Существует два способа подключения новых коллег к сети P2P:

1. Исходный набор одноранговых узлов жестко закодирован в каждом клиенте P2P. Когда появится новый одноранговый узел, он попытается связаться с каждым из них в пределах этого первоначального набора, чтобы обновить информацию от соединения.

2. Общий сетевой кэш (например, Gnutella), который сохраняется где-то в сети, вставляется в код бота. Соответственно, новые одноранговые узлы могут обновлять список соседних узлов, обращаясь к веб-кешу и получая последние обновления.

Например, Trojan.Peacomm - это вредоносная программа, создающая ботнет P2P, который использует протокол Overnet P2P для связи C&C. Код бота будет содержать группу узлов Overnet, которые, скорее всего, будут в сети. Когда компьютер заражен и выполняется код Trojan.Peacomm, он попытается связаться с группой одноранговых узлов, перечисленных в коде бота. Stormnet, другой ботнет P2P, использует аналогичный механизм; Информация о партнерах, с которыми взаимодействуют новые зараженные компьютеры после выполнения кода, кодируется в файле конфигурации, который сохраняется на машине жертвы червем Storm.