Ранее мы уже рассказывали о том, как эволюционирует поведение злоумышленников, и что им пытаются противопоставить специалисты по информационной безопасности. За прошедшие полгода ситуация с DDoS-угрозами и ботнетами продолжает развитие: угроз стало больше, разработка вредоносов становится проще для злоумышленников.
От прокси-сервисов до VPN
Спрогнозированный в начале года кибершторм из DDOS-атак рекордной мощности во многом состоялся. Эту тему мы разбирали в одном из предыдущих материалов — атак и кампаний, направленных на распространение вредоносов, становится не просто больше, меняются сами подходы к их реализации. Злоумышленники не перестают атаковать криптовалютные проекты, делают ставку на ботнеты из IoT-устройств и не только.
В прошлый раз мы как раз говорили о том, как база пользователей одного из популярных VPN-сервисов с более чем пятью миллионами загрузок на Android могла служить основой ботнета. Один из пользователей выяснил, что приложение отправляло данные с устройства на сервер ещё до того, как он согласился с правилами использования. Сервис задействовал устройства и после выхода из приложения, даже если пользователь не соглашался с правилами.
Подобный подход к формированию ботнета часто применяют для сдачи заражённых устройств в аренду. Ещё в августе исследователи обнаружили, что один из крупных прокси-сервисов брал плату за трафик, который проходил через 400 тысяч устройств якобы согласившихся на это пользователей. При этом производился мониторинг состояния систем, чтобы поддерживать оптимальную производительность ботнета, плюс — вредонос не был известен антивирусам и определялся как обычное ПО.
В этой ситуации жертвами стали системы на Windows, однако и яблочные устройства злоумышленники не обходят стороной: используют пресловутый adware и bundleware-загрузчик AdLoad для формирования прокси-узлов. В прошлом месяце было известно о десятках тысяч зараженных устройств, которые задействовали в рассылке спам-писем.
Другая схема построения ботнета — внедрять вредоносный код в старые приложения, которые уже установлены на тысячах устройств. Так произошло с программой NightOwl, которая позволяла включать темный режим на компьютерах Mac. Ее опубликовал разработчик из Германии в 2018 году, когда на macOS не было встроенной возможности переключать тему. Через несколько лет приложение выкупили, а в прошлом году в NightOwl был обнаружен вредоносный код. Он перенаправлял данные с устройств третьим лицам без ведома пользователей. У NightOwl уже отозвали сертификат в App Store, но оно осталось на многих устройствах и скорее всего все еще продолжает собирать данные.
Простые методы
Чтобы сэкономить время и не создавать сложные решения, злоумышленники атакуют менее защищенную сетевую инфраструктуру малых и средних предприятий. Один из таких ботнетов включал более сорока тысяч устройств, и его использовали в противоправной деятельности более трех лет.
В том числе хакеры могут брать и адаптировать код коллег по теневой индустрии. Так, в 2016 году один из разработчиков ботнета Mirai опубликовал свои наработки, объяснив такой шаг тем, что уже не нуждается в коммерческой эксплуатации зловреда. Также он руководствовался гипотезой о том, что публикация кода должна была защитить его от потенциальных обвинений правоохранительных органов: если его компьютер проверили бы при обыске, он бы мог заявить, что просто скачал Mirai. Однако история закончилась не так благополучно, противоправную деятельность обнаружили и взялись за расследование. Плюс — его наработками действительно воспользовались многие: например, по аналогии с Mirai и вредоносными Gafgyt и QBot в прошлом году спроектировали Dark Frost.
Порог входа в ботнет-разработку снижается, как и время проектирования таких решений. Путь от запуска до монетизации ботнет-сети может преодолеть даже любитель без серьезных навыков разработки и развертывания инфраструктуры. Другой простой способ собрать армию ботов — в социальных сетях.
Это явление получило название social botnet, когда хакеры создают сеть зомби-аккаунтов. Цели могут быть разные, от безобидной накрутки лайков до распространения вредоносных ссылок. Такие боты не участвуют напрямую в DDoS-атаках, но помогают координировать их с помощью репостов и обмена комментариями. С развитием технологий ИИ у social botnets появляется все больше возможностей, например, за счет ChatGPT-интеграций, как в кейсе с fox8: они выкладывают фото и оригинальные посты, делают ретвиты, подписываются друг на друга, общаются в комментариях. Простого поиска ботов по фразе «as an AI language model» уже недостаточно, поэтому особую актуальность с точки зрения выявления соц. зловредов получают новые методы анализа поведения.
Методы борьбы
В сентябре стало известно, что специалисты ФБР смогли ликвидировать ботнет Qakbot. Его разработчики предоставляли услуги по распространению вредоносного ПО и за полтора года помогли провести более сорока атак программ-вымогателей с общим ущербом в 50 с лишним млн долларов.
Чтобы остановить Qakbot, представители правоохранительных органов вычислили используемую злоумышленниками инфраструктуру и запросили у провайдеров доступ к ней. Далее — проанализировали архитектуру ботнета: ее составляли зараженные личные и корпоративные устройства, прокси для маскировки и непосредственный центр управления. В итоге — специалисты ФБР разработали и успешно запустили собственный модуль-деинсталлятор Qakbot для устройств, ликвидировав возможности для их дальнейшей эксплуатации. Одна из других инициатив подобного типа носит название Operation PowerOFF и подразумевает выявление и отключение сетевой инфраструктуры злоумышленников.
Впрочем, есть и «неофициальные» — достаточно забавные — ситуации, когда ботнеты ликвидируют сами разработчики. Так, в конце прошлого года разработчик KmsdBot фактически сам отключил сеть заражённых устройств. Дело в том, что он допустил опечатку в команде, которая могла бы запустить очередную атаку, но помешало отсутствие пробела между адресом ресурса и портом. Ботнет на Golang ботнет не умел обрабатывать ошибки и просто отключился. Но, как стало известно недавно, разработчик учёл ошибки и вновь атакует IoT-устройства.
Что почитать по теме
Distributed Denial of Service. Книга 2018 года от издательства O’Reilly, в которой рассмотрены методы борьбы с DDoS-атаками для малого и среднего бизнеса, когда инфраструктура еще не настолько масштабна, чтобы обращаться к специализированному вендору. Авторы рекомендуют разные стратегии и инструменты защиты, в том числе с помощью облачных технологий. В книге также описывают ботнеты, построенные с помощью IoT-устройств — на эту тему есть материал в нашем блоге.
Algorithms and techniques for bot detection in social networks. В диссертации 2021 года разобрали проблемы обнаружения ботнетов в соцсетях и способы их решения. Чтобы точнее выявлять ботов, автор предлагает полагаться не на текст и медиаконтент в профиле, который иногда не отличить от человеческого, а на статистические данные и графы. Исследователь также отмечает, что в ликвидации ботнетов заинтересованы не только сами соцсети, но и частные компании и гос. организации, чтобы снизить влияние на общественное мнение и рынок.
Botnets: The Killer Web Applications. Книгу написали ИБ-специалисты и исследователи из Университета штата Орегон в Портленде. Они разбирают историю появления ботнетов, их жизненный цикл и разновидности, способы управления. В книге также указаны методы обнаружения ботнетов, например, с помощью мониторинга сетевого трафика или ханипотов. Книга подойдет тем, кто только знакомится с ботнетами — авторы идут от простого к сложному и дают много теории. Удобно, что в конце каждого раздела есть его краткий пересказ и ответы на часто задаваемые вопросы.
Detecting Botnets. Эта магистерская диссертация этого года и ее автор изучает методику обнаружения ботнетов, основанную на определенных особенностях в коммуникации между ботами и их центром управления. Эти особенности включают в себя паттерны поведения, такие как организованные атаки или периодическое распределение команд. Для обнаружения таких паттернов автор предлагает использовать вероятностные модели, такие как Hidden Markov Models (HMM) и Profile Hidden Markov Model (PHMM). Материал будет полезен для доступного и относительно быстрого погружения в тему.
Distributed Denial of Service Attacks. Учебник 2020 года предназначен для аспирантов университета Клемсона (США). Авторы рассказывают, как происходят DDoS-атаки, какие уязвимости используют хакеры, почему ботнеты эффективны, как их обнаружить и избежать катастрофических последствий. Также затрагиваются темы кибервойн, цензуры в интернете и истории DDoS-атак. В учебник входят лабораторные задания с использованием программно-определяемых сетей (SDN), которые позволяют создавать устойчивые ИТ-системы и противостоять DDoS.
