Festi

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 12. helmikuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 3 muokkausta .

Festi on rootkit ja siihen perustuva botnet . Toimii Windows-perheen käyttöjärjestelmissä. Festi tuli ensimmäisen kerran virustorjuntaohjelmien kehittämiseen ja myyntiin osallistuvien yritysten tietoon syksyllä 2009 [1] [2] . Tuolloin arvioitiin, että botnet sisälsi noin 25 000 tartunnan saanutta konetta ja lähetti noin 2,5 miljardia sähköpostia joka päivä [3] [4] [5] . Festi oli aktiivisin vuosina 2011-2012 [6] [7] . Uusimmat arviot elokuulta 2012 heijastavat sitä tosiasiaa, että botnet lähetti roskapostia 250 000 yksilöllisestä IP-osoitteesta, joka on neljännes miljoonasta osoitteesta, jotka lähettävät kaiken roskapostin maailmassa [8] . Festi-botnetin päätoiminto on lähettää roskapostia ja suorittaa hajautettuja palvelunestohyökkäyksiä .

Jakelutavat

Jakelu tapahtuu PPI-järjestelmän [10] (Pay-Per-Install) avulla. Virustentorjuntaohjelman havaitsemisen estämiseksi käynnistyslatain on jaettu salatussa muodossa [10] , mikä vaikeuttaa allekirjoitusten hakuja .

Arkkitehtuuri

Saimme kaiken tiedon botnet-arkkitehtuurista virustorjuntayrityksen ESETin tutkimuksesta [10] [11] [12] . Käynnistyslatain lataa ja asentaa botin , joka on ydintilan ohjain , joka lisää itsensä käyttöjärjestelmästä alkavien ohjainten luetteloon . Vain osa robotista on tallennettu kiintolevylle, joka vastaa kommunikaatiosta komentokeskuksen kanssa ja moduulien lataamisesta. Käynnistyksen jälkeen botti käyttää ajoittain komentokeskusta saadakseen kokoonpanon, ladatakseen moduuleita ja suorittamiseen tarvittavia tehtäviä.

Moduulit

Virustorjuntayrityksen ESETin asiantuntijoiden tekemästä tutkimuksesta tiedetään, että Festissä on vähintään kaksi moduulia. Toinen niistä on tarkoitettu roskapostin lähettämiseen (BotSpam.dll), toinen hajautettujen palvelunestohyökkäysten suorittamiseen (BotDoS.dll). Hajautettu palvelunestohyökkäysmoduuli tukee seuraavan tyyppisiä hyökkäyksiä, nimittäin: TCP-tulva, UDP-tulva, DNS-tulva, HTTP(s)-tulva ja pakettitulva, jonka protokollanumerossa on satunnainen numero.

Bottiverkkoa tutkinut Kaspersky Labin asiantuntija päätteli, että moduuleja on enemmän, mutta kaikkia ei käytetä. Heidän luettelossaan on moduuli sukkapalvelimen (BotSocks.dll) toteuttamiseen TCP- ja UDP-protokollalla, moduuli käyttäjän tietokoneen etäkatseluun ja -hallintaan (BotRemote.dll), moduuli, joka toteuttaa haun etätietokoneen levyltä ja paikallisverkosta. (BotSearch.dll ), johon etätietokone on kytketty, kaappausmoduulit kaikille tällä hetkellä tunnetuille selaimille (BotGrabber.dll).

Moduuleja ei koskaan tallenneta kiintolevylle, joten niiden havaitseminen on lähes mahdotonta.

Verkostoituminen

Botti käyttää asiakas-palvelintekniikkaa ja toteuttaa oman verkkovuorovaikutusprotokollansa komentokeskuksen kanssa toimiakseen, jota käytetään botnet-kokoonpanon vastaanottamiseen, moduulien lataamiseen sekä tehtävien vastaanottamiseen komentokeskuksesta ja komentokeskukselle niiden ilmoittamiseen. valmistuminen. Tiedot on salattu, mikä estää verkkoliikenteen sisällön määrittämisen.

Suojaus havaitsemista ja virheenkorjausta vastaan

Kun robotti on asennettu, se poistaa järjestelmän palomuurin käytöstä , piilottaa ydintilan ajurin ja järjestelmän rekisteriavaimet , jotka ovat välttämättömiä lataamisessa ja toiminnassa, suojaa itseään ja rekisteriavaimia poistamiselta. Verkko on matalatasoista, joten voit helposti ohittaa virustorjuntaohjelmistojen verkkosuodattimet. Verkkosuodattimien käyttöä valvotaan niiden asentamisen estämiseksi. Botti tarkistaa, toimiiko se virtuaalikoneen alla , jos tarkistuksen tulos on positiivinen, se lopettaa toimintansa. Festi tarkistaa ajoittain debuggerin olemassaolon ja osaa poistaa keskeytyskohdat .

Oliolähtöinen lähestymistapa kehitykseen

Festi on rakennettu olio- ohjelmistokehitysteknologialla, mikä vaikeuttaa tutkimuksen käänteistä suunnittelua ja tekee botin helposti siirrettävissä muihin käyttöjärjestelmiin.

Hallinto

Kaikki Festi-botnetin hallinta on toteutettu web-käyttöliittymän avulla ja se tapahtuu selaimen kautta.

Kuka on Festin takana

Virustorjuntayrityksen ESET [12] asiantuntijoiden , amerikkalaisen toimittajan ja bloggaajan, tietoturvaasiantuntija Brian Krebsin [13] , The New York Times -sanomalehden amerikkalaisen toimittajan Andrew Kramerin [14] mukaan sekä lähteiden mukaan. lähellä Venäjän erikoispalveluja, arkkitehti ja Festi-botnetin kehittäjä, venäläinen hakkeri Igor Artimovich .

Johtopäätös

Yhteenvetona voidaan todeta, että Festi-botnet oli yksi tehokkaimmista roskapostin lähettämiseen ja hajautettujen palvelunestohyökkäuksien suorittamiseen tarkoitetuista roboteista. Festi-botnetin rakentamisen periaatteet maksimoivat botin käyttöiän järjestelmässä ja estävät virustorjuntaohjelmiston ja verkkosuodattimien havaitsemasta bottia. Moduulimekanismin avulla voit laajentaa botnetin toimivuutta mihin tahansa suuntaan luomalla ja lataamalla tarvittavia moduuleja eri tavoitteiden saavuttamiseksi, kun taas oliolähtöinen lähestymistapa kehitykseen vaikeuttaa botnetin tutkimista käänteissuunnittelumenetelmillä ja mahdollistaa sen botin siirtäminen muihin käyttöjärjestelmiin, koska tietyn käyttöjärjestelmän toiminnot ja muu botin logiikka eroavat selvästi toisistaan. Tehokkaat tunnistus- ja virheenkorjausjärjestelmät tekevät Festi-botista käytännössä näkymätön ja haavoittumattoman. Sidosjärjestelmä ja varakomentokeskusten käyttö mahdollistavat bottiverkon hallinnan takaisin saamisen komentokeskuksen muutoksen jälkeen. Festi ei ole tyypillinen haittaohjelmaesimerkki , sillä kirjoittajat ottivat sen kehitysprosessin erittäin vakavasti. Voimme turvallisesti sanoa, että Festi-botti on mestariteos haittaohjelmien joukossa [15] .

Katso myös

Muistiinpanot

↑ Lewis, Daren Festi -bottiverkko pyörii ja tulee yhdeksi tärkeimmistä roskapostibottiverkoista . Symantec Connect (5. marraskuuta 2009). Haettu 4. joulukuuta 2013. Arkistoitu alkuperäisestä 18. huhtikuuta 2018. (määrätön)
↑ Kaplan, Dan Festi -botnet ilmestyy . SC Magazine (6. marraskuuta 2009). Käyttöpäivä: 4. joulukuuta 2013. Arkistoitu alkuperäisestä 4. maaliskuuta 2016. (määrätön)
↑ Jackson Higgins, Kelly Uusi roskapostibottiverkko nousussa - Dark Reading . darkreading (06.11.2009). Haettu 15. joulukuuta 2013. Arkistoitu alkuperäisestä 7. elokuuta 2012. (määrätön)
↑ Wattanajantra, Asavin 'Festi' kasvaa roskapostin raskaaksi sarjaksi . ITPRO (6. marraskuuta 2009). Haettu 4. joulukuuta 2013. Arkistoitu alkuperäisestä 18. huhtikuuta 2018. (määrätön)
↑ Botnet Festi nousee valtavasti (downlink) . SPAMfighter (18. marraskuuta 2009). Käyttöpäivä: 4. joulukuuta 2013. Arkistoitu alkuperäisestä 21. joulukuuta 2014. (määrätön)
↑ Kirk, Jeremy Spamhaus julistaa Grumin botnetin kuolleeksi, mutta Festi nousee . PC World (16. elokuuta 2012). Haettu 4. joulukuuta 2013. Arkistoitu alkuperäisestä 1. heinäkuuta 2015. (määrätön)
↑ Kirk, Jeremy Spamhaus julistaa Grumin botnetin kuolleeksi, mutta Festi kasvaa (linkki ei ole käytettävissä) . PC Advisor (17. elokuuta 2012). Käyttöpäivä: 4. joulukuuta 2013. Arkistoitu alkuperäisestä 15. joulukuuta 2013. (määrätön)
↑ Saarinen, Juha Festi botnet nostaa roskapostimääriä . ITNews (20. elokuuta 2012). Haettu 4. joulukuuta 2013. Arkistoitu alkuperäisestä 30. kesäkuuta 2015. (määrätön)
↑ 1 2 3 Matrosov, Aleksandr King of Spam: Festi botnet -analyysi . ESET (11. toukokuuta 2012). Haettu 4. joulukuuta 2013. Arkistoitu alkuperäisestä 18. huhtikuuta 2018. (määrätön)
↑ Rodionov, Eugene Festi botnet-analyysi ja -tutkimus (pääsemätön linkki) . ESET (2011). Arkistoitu alkuperäisestä 15. joulukuuta 2013. (määrätön)
↑ 1 2 Matrosov, Aleksandr Festi Botnet Analysis & Investigation . AVAR 2012 (12.–14. marraskuuta 2012). Arkistoitu alkuperäisestä 15. joulukuuta 2013. (määrätön)
↑ Krebs, Brian Kuka on Festi-botmaster? . Krebs on Security (12. kesäkuuta 2012). Haettu 4. joulukuuta 2013. Arkistoitu alkuperäisestä 18. huhtikuuta 2018. (määrätön)
↑ Kramer, Andrew Online-hyökkäys johti kurkistamaan roskapostipesään . New York Times (2. syyskuuta 2013). Haettu 28. syyskuuta 2017. Arkistoitu alkuperäisestä 18. huhtikuuta 2018. (määrätön)
↑ Festi: haitallinen ja ruumiiton . Xakep Magazine (syyskuu, 2012). Käyttöpäivä: 15. joulukuuta 2013. Arkistoitu alkuperäisestä 15. joulukuuta 2013. (määrätön)

Linkit

Bottiverkot
Akbot Asprox Bagle BASKLIITTI Bredolab carna Conficker Cutwail donbot Dridex Festi Gameover ZeuS Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega D Meris Metulji Mirai Necurs Nitol Rustock Suolaisuus SpyEye Srizby StarDust Myrsky TDL-4 Torpig Virut Vulcanbot Waledac Nolla pääsy Zeus
Katso myös: Malbot Käyttö: Bot Roast Haittaohjelma Dosnet verkkomato

2000-luvun hakkerihyökkäykset
Suurimmat hyökkäykset	Operaatio Bot Roast Operaatio Red October Hanke "Kanologia" titaanisade
Hakkereiden ryhmät ja yhteisöt	Nimetön Yksikkö 61398 (PLA)
yksinäisiä hakkereita	Dmitri Sklyarov
Havaittiin kriittisiä haavoittuvuuksia	Särkyttävä hyökkäys
Tietokonevirukset	Agent.BTZ Anna Kurnikova Asprox Backdoor.Win32.Sinoval Bagle Blaster Bredolab Cabir Huolehtia punainen koodi Koodi punainen II Commwarrior Conficker Cutwail donbot Festi Fizzer MINÄ RAKASTAN SINUA Klez Koobface Kraken Mariposa Mega D Metulji Mocmex my doom mytob Neshta netsky NetTraveler Nimda Läpäisevä Hyppysellinen Myrkkymuratti RFID-virus Rustock Suolaisuus Santy Sasser Raitis Niin iso SpyEye SQL Slammer Srizby Myrskymato Torpig Virut Vulcanbot Waledac Nolla pääsy Zeus Zobot
1990 -luku • 2000 -luku • 2010-luku