Festi on rootkit ja siihen perustuva botnet . Toimii Windows-perheen käyttöjärjestelmissä. Festi tuli ensimmäisen kerran virustorjuntaohjelmien kehittämiseen ja myyntiin osallistuvien yritysten tietoon syksyllä 2009 [1] [2] . Tuolloin arvioitiin, että botnet sisälsi noin 25 000 tartunnan saanutta konetta ja lähetti noin 2,5 miljardia sähköpostia joka päivä [3] [4] [5] . Festi oli aktiivisin vuosina 2011-2012 [6] [7] . Uusimmat arviot elokuulta 2012 heijastavat sitä tosiasiaa, että botnet lähetti roskapostia 250 000 yksilöllisestä IP-osoitteesta, joka on neljännes miljoonasta osoitteesta, jotka lähettävät kaiken roskapostin maailmassa [8] . Festi-botnetin päätoiminto on lähettää roskapostia ja suorittaa hajautettuja palvelunestohyökkäyksiä .
Jakelu tapahtuu PPI-järjestelmän [10] (Pay-Per-Install) avulla. Virustentorjuntaohjelman havaitsemisen estämiseksi käynnistyslatain on jaettu salatussa muodossa [10] , mikä vaikeuttaa allekirjoitusten hakuja .
Saimme kaiken tiedon botnet-arkkitehtuurista virustorjuntayrityksen ESETin tutkimuksesta [10] [11] [12] . Käynnistyslatain lataa ja asentaa botin , joka on ydintilan ohjain , joka lisää itsensä käyttöjärjestelmästä alkavien ohjainten luetteloon . Vain osa robotista on tallennettu kiintolevylle, joka vastaa kommunikaatiosta komentokeskuksen kanssa ja moduulien lataamisesta. Käynnistyksen jälkeen botti käyttää ajoittain komentokeskusta saadakseen kokoonpanon, ladatakseen moduuleita ja suorittamiseen tarvittavia tehtäviä.
Virustorjuntayrityksen ESETin asiantuntijoiden tekemästä tutkimuksesta tiedetään, että Festissä on vähintään kaksi moduulia. Toinen niistä on tarkoitettu roskapostin lähettämiseen (BotSpam.dll), toinen hajautettujen palvelunestohyökkäysten suorittamiseen (BotDoS.dll). Hajautettu palvelunestohyökkäysmoduuli tukee seuraavan tyyppisiä hyökkäyksiä, nimittäin: TCP-tulva, UDP-tulva, DNS-tulva, HTTP(s)-tulva ja pakettitulva, jonka protokollanumerossa on satunnainen numero.
Bottiverkkoa tutkinut Kaspersky Labin asiantuntija päätteli, että moduuleja on enemmän, mutta kaikkia ei käytetä. Heidän luettelossaan on moduuli sukkapalvelimen (BotSocks.dll) toteuttamiseen TCP- ja UDP-protokollalla, moduuli käyttäjän tietokoneen etäkatseluun ja -hallintaan (BotRemote.dll), moduuli, joka toteuttaa haun etätietokoneen levyltä ja paikallisverkosta. (BotSearch.dll ), johon etätietokone on kytketty, kaappausmoduulit kaikille tällä hetkellä tunnetuille selaimille (BotGrabber.dll).
Moduuleja ei koskaan tallenneta kiintolevylle, joten niiden havaitseminen on lähes mahdotonta.
Botti käyttää asiakas-palvelintekniikkaa ja toteuttaa oman verkkovuorovaikutusprotokollansa komentokeskuksen kanssa toimiakseen, jota käytetään botnet-kokoonpanon vastaanottamiseen, moduulien lataamiseen sekä tehtävien vastaanottamiseen komentokeskuksesta ja komentokeskukselle niiden ilmoittamiseen. valmistuminen. Tiedot on salattu, mikä estää verkkoliikenteen sisällön määrittämisen.
Kun robotti on asennettu, se poistaa järjestelmän palomuurin käytöstä , piilottaa ydintilan ajurin ja järjestelmän rekisteriavaimet , jotka ovat välttämättömiä lataamisessa ja toiminnassa, suojaa itseään ja rekisteriavaimia poistamiselta. Verkko on matalatasoista, joten voit helposti ohittaa virustorjuntaohjelmistojen verkkosuodattimet. Verkkosuodattimien käyttöä valvotaan niiden asentamisen estämiseksi. Botti tarkistaa, toimiiko se virtuaalikoneen alla , jos tarkistuksen tulos on positiivinen, se lopettaa toimintansa. Festi tarkistaa ajoittain debuggerin olemassaolon ja osaa poistaa keskeytyskohdat .
Festi on rakennettu olio- ohjelmistokehitysteknologialla, mikä vaikeuttaa tutkimuksen käänteistä suunnittelua ja tekee botin helposti siirrettävissä muihin käyttöjärjestelmiin.
Kaikki Festi-botnetin hallinta on toteutettu web-käyttöliittymän avulla ja se tapahtuu selaimen kautta.
Virustorjuntayrityksen ESET [12] asiantuntijoiden , amerikkalaisen toimittajan ja bloggaajan, tietoturvaasiantuntija Brian Krebsin [13] , The New York Times -sanomalehden amerikkalaisen toimittajan Andrew Kramerin [14] mukaan sekä lähteiden mukaan. lähellä Venäjän erikoispalveluja, arkkitehti ja Festi-botnetin kehittäjä, venäläinen hakkeri Igor Artimovich .
Yhteenvetona voidaan todeta, että Festi-botnet oli yksi tehokkaimmista roskapostin lähettämiseen ja hajautettujen palvelunestohyökkäuksien suorittamiseen tarkoitetuista roboteista. Festi-botnetin rakentamisen periaatteet maksimoivat botin käyttöiän järjestelmässä ja estävät virustorjuntaohjelmiston ja verkkosuodattimien havaitsemasta bottia. Moduulimekanismin avulla voit laajentaa botnetin toimivuutta mihin tahansa suuntaan luomalla ja lataamalla tarvittavia moduuleja eri tavoitteiden saavuttamiseksi, kun taas oliolähtöinen lähestymistapa kehitykseen vaikeuttaa botnetin tutkimista käänteissuunnittelumenetelmillä ja mahdollistaa sen botin siirtäminen muihin käyttöjärjestelmiin, koska tietyn käyttöjärjestelmän toiminnot ja muu botin logiikka eroavat selvästi toisistaan. Tehokkaat tunnistus- ja virheenkorjausjärjestelmät tekevät Festi-botista käytännössä näkymätön ja haavoittumattoman. Sidosjärjestelmä ja varakomentokeskusten käyttö mahdollistavat bottiverkon hallinnan takaisin saamisen komentokeskuksen muutoksen jälkeen. Festi ei ole tyypillinen haittaohjelmaesimerkki , sillä kirjoittajat ottivat sen kehitysprosessin erittäin vakavasti. Voimme turvallisesti sanoa, että Festi-botti on mestariteos haittaohjelmien joukossa [15] .
Bottiverkot | |
---|---|
|
2000-luvun hakkerihyökkäykset | |
---|---|
Suurimmat hyökkäykset | |
Hakkereiden ryhmät ja yhteisöt | |
yksinäisiä hakkereita | |
Havaittiin kriittisiä haavoittuvuuksia | |
Tietokonevirukset |
|
1990 -luku • 2000 -luku • 2010-luku |