Η μέθοδος sinkhole που χρησιμοποιεί το botnet
Τον προηγούμενο Μάιο, οι τεχνικοί ξεκίνησαν να μελετούν σε βάθος τον μηχανισμό που χρησιμοποιούσαν τα bot του ZeroAccess για να επικοινωνήσουν μεταξύ τους, έτσι ώστε να δουν πως μπορεί να υλοποιήσουν τη μέθοδο sinkhole στο botnet. Κατά τη διάρκεια αυτής της διαδικασίας, εξετάστηκε μία συγκεκριμένη ευπάθεια που προσέφερε έναν δύσκολο, αλλά όχι ακατόρθωτο, τρόπο για να χρησιμοποιηθεί η μέθοδοςsinkhole στο botnet. Διεξήχθηκαν επιπλέον τεστ στα εργαστήρια και βρέθηκε ένας πρακτικός τρόπος για να απελευθερωθούν οι peers από τον botmaster. Κατά τη διάρκεια αυτής της διαδικασίας, συνεχίστηκε η παρακολούθηση του botnet, όπου στις 29 Ιουνίου, εντοπίστηκε μία νέα έκδοση του ZeroAccess που διανεμήθηκε μέσω του peer-to-peer δικτύου. Η αναβαθμισμένη έκδοση περιείχε μία σειρά από αλλαγές, αλλά κυρίως είχε τροποποιήσεις που βελτίωναν τις σχεδιαστικές ατέλειες, οι οποίες καθιστούσαν ευάλωτο το botnet. Η αδυναμία του μηχανισμού P2P του ZeroAccess αναφέρθηκε από ερευνητές σε μία αναφορά που δημοσιεύθηκε τον Μάιο του 2013. Το γεγονός αυτό μπορεί να κινητοποίησε τον botmasterτου ZeroAccess και να προέβη στην αναβάθμισή του, αποτρέποντας πλέον οποιαδήποτε προσπάθεια γιαsinkhole στο ZeroAccess botnet.
Βλέποντας τις αλλαγές, και έχοντας ήδη ένα στημένο σχέδιο προς υλοποίηση, η Symantec είχε μόνο μία επιλογή: να θέσει σε λειτουργία εκείνη την στιγμή το σχέδιο αντιμετώπισης του botnet, διαφορετικά υπήρχε το ρίσκο να χαθεί η ευκαιρία. Στις 16 Ιουλίου ξεκίνησε η διαδικασία sinkhole των μολυσμένων μεZeroAccess συστημάτων. Αυτή η διαδικασία είχε ως αποτέλεσμα την αφαίρεση περισσότερων από μισό εκατομμύριο bots και ήταν ένα πλήγμα στον αριθμό των bots που ελέγχονται από τον botmaster. Κατά μέσο όρο, χρειάστηκαν μόλις 5 λεπτά μιας P2P δραστηριότητας για να ξεκινήσει το sinkhole τουZeroAccess bot. Για να κατανοηθούν οι επιπτώσεις αυτής της ενέργειας, πρέπει πρώτα να κατανοηθεί τη χρήση του ZeroAccess botnet.
ZeroAccess: υπηρεσία courier
Με βάση την κατασκευή του και τη συμπεριφορά του, το ZeroAccess φαίνεται να έχει σχεδιαστεί αρχικά για να μεταφέρει payload σε μολυσμένους υπολογιστές. Στο ZeroAccess botnet, η παραγωγική δραστηριότητα (από την πλευρά του επιτιθέμενου) εκτελείται από τα payload που κάνουν download οι μολυσμένοι υπολογιστές, που συνοψίζεται σε δύο βασικούς τύπους, οι οποίοι έχουν ως στόχο τις δραστηριότητες δημιουργίας εισοδήματος.
Click fraud
Ένας τύπος payload είναι το click fraud Trojan. Τα download των online διαφημίσεων στον υπολογιστή περιέχουν Trojan , ενώ μετέπειτα δημιουργεί πλαστά κλικ στις διαφημίσεις, που μοιάζουν να έχουν δημιουργηθεί από νόμιμους χρήστες. Αυτά τα ψευδή κλικ προσμετρούν στην πληρωμή στα προγράμματαpay-per-click (PPC).
Bitcoin mining
Αυτό το virtual νόμισμα έχει γίνει στόχος των κυβερνοεγκληματιών. Ο τρόπος που το κάθε bitcoinυφίσταται βασίζεται στην διεξαγωγή μαθηματικών λειτουργιών, γνωστών και ως “mining” στο hardwareτου υπολογιστή. Αυτή η δραστηριότητα έχει άμεση αξία για τον botmaster και ένα κόστος για τα ανυποψίαστα θύματα. Εξετάστηκαν σε βάθος οι επιπτώσεις αυτής της δραστηριότητας μέσω της χρήσης παλαιών υπολογιστών που ήταν διαθέσιμοι στο εργαστήριο.
Η παύση των P2Pbotnet είναι δύσκολη αλλά όχι αδύνατη
Η ενασχόληση με το συγκεκριμένο botnet, έβγαλε το συμπέρασμα ότι παρά την ανθεκτικότητα της P2Pαρχιτεκτονικής του ZeroAccess, η Symantec ήταν σε θέση να πραγματοποιήσει τη μέθοδο sinkhole σε ένα μεγάλο αριθμό bots. Αυτό σημαίνει ότι αυτά τα bot δεν θα είναι πλέον διαθέσιμα να λαμβάνουν εντολές από τον botmaster, αλλά και να χρησιμοποιούνται από το botnet για να μοιράζουν εντολές ή να ανανεώνουν / δημιουργούν πρόσθετο εισόδημα.
Εντωμεταξύ, η Symantec συνεργάστηκε στενά με τους ISPs και τους CERTs σε παγκόσμιο επίπεδο, έτσι ώστε να μοιραστεί πληροφορίες που θα βοηθήσει τους μολυσμένους υπολογιστές να καθαριστούν.
Δείτε όλες τις τελευταίες Ειδήσεις από την Ελλάδα και τον Κόσμο, τη στιγμή που συμβαίνουν, στο reporter.gr