Wiele trudności w walce z botnetami wynika z braku znajomości odpowiedzi na następujące pytania:

Transkrypt

1 Anatomia Botnetu Jednym z głównych wyzwań w zapewnieniu bezpiecznego dostępu do Internetu jest dzisiaj obrona przed globalną plagą botnetów. Ich twórcy i stojące za nimi często całe organizacje przestępcze, wymyślają coraz to nowe sposoby, by wciągać do swoich sieci kolejne ofiary i na nich zarabiać. Wiele trudności w walce z botnetami wynika z braku znajomości odpowiedzi na następujące pytania: u u u u Kto za tym stoi? Dlaczego botnety są tak rozpowszechnione i jakim celom służą? W jaki sposób powstaje infrastruktura botnetu? Po czym można poznać, że system jest częścią botnetu? Ten tekst zawiera odpowiedzi na powyższe pytania oraz wyjaśnia, jak dzisiaj wygląda walka z botnetami. Co to jest botnet i w jaki sposób cyberprzestępcy go wykorzystują? W najprostszej postaci botnet jest grupą komputerów zainfekowanych złośliwym oprogramowaniem (malware), które daje swojemu zarządcy określony poziom kontroli nad zainfekowaną maszyną. Każdy botnet a działają ich obecnie tysiące jest wykorzystywany przez swoich zarządców do realizacji różnych nielegalnych działań bez wiedzy właścicieli komputerów. Raz zarażony komputer staje się nieświadomym zombie, gotowym wykonać każde polecenie swojego pana. 1

2 Cyberprzestępcy używają botnetów do zarabiania pieniędzy na wiele różnych sposobów: Ataki typu DDoS (Distributed Denial of Service): celem ataku jest wygenerowanie na serwerze ofiary ruchu o ogromnym natężeniu, który spowoduje przeciążenie systemu i uniemożliwi mu obsługę autentycznych zapytań. Powszechnie stosowaną techniką jest uruchomienie bardzo krótkiego ataku w celu wymuszenia ochrony przed kolejnym, bardziej intensywnym atakiem. Pewne strony tematyczne są szczególnie narażone na ataki podczas kluczowych dla nich wydarzeń, jak np. strony sportowe podczas mistrzostw świata w piłce nożnej. Spamowanie: pierwsze botnety były tworzone głównie w celu wysyłania spamu i do dzisiaj jest to jedna z głównych działalności realizowanych przez botnety. Zainfekowane maszyny odgrywają rolę serwerów pocztowych i mogą wysyłać ogromne ilości niechcianej poczty każdego dnia. Znane są przypadki, gdzie duże botnety były odpowiedzialne za wysyłanie miliardów wiadomości dziennie. Oszustwa finansowe: w ostatnich latach botnety rozszerzyły zakres swojej działalności o oszustwa bankowe. Dzięki możliwości zainstalowania dodatkowego oprogramowania na zainfekowanych maszynach, zarządcy botnetów mogą wyprowadzać z nich cenne dane, takie jak numer ubezpieczenia, numer karty kredytowej, nazwisko, adres, datę urodzenia, czy wszelkie inne dane, które pozwalają im szybko i skutecznie pobrać pieniądze z konta bankowego lub karty kredytowej. Wykorzystywanie mechanizmów Search Engine Optimization (SEO): zarządzający botami sztucznie stymulują rankingi wyszukiwarek, aby kierowały użytkowników na strony zawierające malware lub strony sklepów z podrabianymi towarami czy fałszywymi lekami. Oszustwa w systemach pay-per-click: zarządzający botami tworzą legalnie wyglądające strony i znajdują reklamodawców. Pracujący w tle botnet odwiedza stronę i klika ogłoszenia reklamodawców, którzy zgodnie z umową płacą właścicielowi strony za aktywność botnetu - wszystko wygląda wiarygodnie, ponieważ kliknięcia pochodzą z tysięcy różnych komputerów w różnych lokalizacjach geograficznych. Szpiegostwo gospodarcze: podczas gdy eksperci od cyberprzestępczości zaciekle debatują nad skalą i zakresem używania botnetów do szpiegowania, pojawiają się dowody, że kilka botnetów zostało wykorzystanych do ataków przeciwko firmom i instytucjom rządowym w celu przejęcia własności intelektualnej i tajemnic państwowych. Zdobywanie bitmonet : Bitcoin to wirtualna waluta, którą można anonimowo płacić online za produkty i usługi. Bitmonety zarabia się, instalując na komputerze oprogramowanie, które wykonuje skomplikowane obliczenia, za co użytkownik jest wynagradzany. Zarządzający botnetem może wykorzystać moc obliczeniową komputerów ofiar do zarabiania bitmonet, żeby następnie sprzedać je na szarym lub czarnym rynku za prawdziwą walutę. Jak działa Botnet? Metody zakażania komputerów są niemal tak różnorodne jak sposoby ich wykorzystania przez cyberprzestępców: Download: zwykłe odwiedzenie strony www przez komputer, który nie ma aktualnych łatek i zabezpieczenia antywirusowego może spowodować pobranie i uruchomienie złośliwego oprogramowania, a przez to włączenie komputera do botnetu. częściej używaną w przeszłości, lecz wciąż popularną metodą infekowania, jest wysłanie maila ze złośliwą zawartością, często przez osobę, którą użytkownik zna i której ufa, a której komputer już należy do botnetu. Pirackie oprogramowanie: twórcy złośliwego oprogramowania często ukrywają swój kod w programach pobieranych z Internetu Co się dzieje po zakażeniu? Złośliwe oprogramowanie podczas instalacji bota tworzy zazwyczaj w systemie furtkę (backdoor) lub instaluje program, który umożliwia zarządzającemu botnetem komunikację z zainfekowanym komputerem, kontrolowanie go i instalowanie na nim oprogramowania. Utworzony backdoor jest niezwykle trudny do zamknięcia, nawet po zainstalowaniu najnowszych aktualizacji antymalware. Po zainstalowaniu się na komputerze, bot na ogół nawiązuje próbę komunikacji ze swoim właścicielem, aby się zameldować. Zainfekowany komputer może wysłać do bot mastera dużo informacji, w tym swój adres IP (co pozwala zlokalizować geograficznie ofiarę), nazwę komputera w domenie, rodzaj systemu operacyjnego, informacje o zainstalowanych łatkach itd. Gdy bot nawiąże kontakt ze swoim zarządcą, może nastąpić wiele różnych aktywności: bot master może wysłać i zainstalować na komputerze nowszą wersję złośliwego oprogramowania lub nakazać wtyczce obserwację określonych zachowań, jak np. próbę zalogowania się do konta bankowego. Botnet może również wykonywać inne polecenia, np. nagrywanie aktywności w Internecie, wysyłanie spamu, udział w atakach DDoS, instalowanie dodatkowych programów na przejętym komputerze. Konkurencja 2

3 pomiędzy właścicielami botnetów jest obecnie tak duża, że twórcy oprogramowania piszą aplikacje, które sprawdzają, czy dany komputer został zainfekowany przez inny botnet, a następnie usuwają go z systemu. W jaki sposób Botnet unika wykrycia? Typowym mitem wśród kadry działów IT jest przekonanie, że skoro bot musi się połączyć z zewnętrznym serwerem Command & Control (C&C), aby być skutecznym, to istniejące narzędzia bezpieczeństwa sieciowego, takie jak IPS czy antymalware, będą w stanie zablokować to połączenie. Botnety wykorzystują szereg technik, aby ominąć metody wykrywania i blokowania dostępu do serwera C&C, takich jak lista adresów IP, z którymi łączą się po kolei, aż trafią na aktywny serwer C&C. Bardziej zaawansowane botnety wykorzystują algorytmy DGA (Domain Generation Algorithms) i Fast Flux w celu zagwarantowania, że bot zawsze będzie w stanie połączyć się ze swoim serwerem C&C DGA to metoda generowania adresów serwera C&C. Używając odpowiedniego algorytmu, malware rozpoznaje, kiedy ma się połączyć z adresem, który wydaje się być zupełnie przypadkowy. Bot master musi jedynie zadbać o to, żeby zarejestrować ten przypadkowy adres na dzień lub dwa przed czasem połączenia i włączyć odpowiednie ustawienia DNS, aby połączyć ten adres ze swoim serwerem C&C. f f Fast Flux różni się od DGA sposobem implementacji, ale idea jest podobna: poprzez zmodyfikowane ustawienia DNS, bot master przekierowuje wiele adresów IP na domeny, z którymi boty próbują się połączyć. Zmieniając regularnie ustawienia, zarządzający botami mają pewność, że zawsze będą o krok przed potencjalnymi próbami wykrycia i likwidacji serwerów C&C. Często wykorzystywane są obydwie te metody jednocześnie, cyberprzestępcy zyskują tą drogą pewność, że zombie znajdą sposób, by połączyć się z masterem. Wykradanie informacji Inicjowanie ataków DDoS, rozsyłanie spamu czy oszukiwanie wyszukiwarek to tylko niektóre z trików wykorzystywanych przez botnety. Bot master może zainstalować na komputerze program, który ma tylko jeden cel: zbieranie danych osobowych, loginów do kont bankowych czy tajemnic firmowych. Jednym z tego typu programów jest keylogger, który monitoruje i nagrywa wszelkie działania na klawiaturze, a następnie przesyła te dane do właściciela botnetu. Jest to jeden ze sposobów na poznanie nazwy użytkownika, jego imienia i nazwiska, hasła, daty urodzenia, danych konta , numerów kont bankowych itd. Dwuskładnikowe uwierzytelnianie Jednym ze sposobów, w jaki banki i inne organizacje umożliwiające zdalny dostęp do danych wrażliwych lub chronionych prawnie walczą z oprogramowaniem wykradającym informacje jest dwuskładnikowe uwierzytelnianie: f f Pierwszy składnik: coś, co wiesz czyli login i hasło f f Drugi składnik: coś, co masz czyli unikalne, zmienne hasło generowane przez posiadane urządzenie token lub telefon komórkowy Niestety twórcy botnetów opracowali obejście nawet do takich zabezpieczeń: atak typu Man-in-the-Browser (MitB). Polega on na tym, że złośliwe oprogramowanie podstawia użytkownikowi fałszywą stronę banku, niemożliwą do odróżnienia od prawdziwej. Użytkownik wprowadza na tej stronie informacje potrzebne do zalogowania, w tym unikalne hasło wygenerowane w procesie dwuskładnikowego uwierzytelniania. Fałszywa strona następnie przekierowuje te informacje na prawdziwą stronę banku, umożliwiając właścicielowi botnetu dostęp do konta bankowego ofiary. W innym typie ataku MitB niepostrzeżenie dodawane są dodatkowe pola na stronie logowania, które wymagają podania dodatkowych informacji, takich jak nazwisko panieńskie matki czy miasto urodzenia. Dzięki tym danym osoba zarządzająca botnetem może zadzwonić bezpośrednio do banku i uzyskać dostęp do konta ofiary. Na szczęście banki dysponują dzisiaj wyrafinowanymi algorytmami, które pozwalają im zidentyfikować nieuczciwe działania na kontach. W takim przypadku bank często kontaktuje się z klientem w celu zweryfikowania podejrzanej aktywności. Jednakże jeżeli właściciel botnetu wykorzystuje opisane powyżej metody, najprawdopodobniej posiada on również numer telefonu ofiary i może przekierować połączenie na swój własny numer VoIP. Kiedy bank dzwoni na numer ofiary, odbiera bot master, podaje wszystkie dane i potwierdza wykonane przez siebie operacje. 3

4 Inną, często pomijaną funkcją botnetów jest kradzież poufnych informacji lub własności intelektualnej. Istnieją dzisiaj botnety, które wysyłają maile skierowane do celów zarówno komercyjnych, jak i rządowych w celu zainstalowania furtki backdoor w systemach wyselekcjonowanych użytkowników (lub niewielkich grup użytkowników, jak na przykład pracownicy Białego Domu). Po spenetrowaniu sieci takim atakiem, właściciel botnetu niepostrzeżenie przeszukuje komputer ofiary i wszystkie połączone dyski w sieci w celu znalezienia schematów technicznych, kodów źródłowych, ofert, list klientów, wewnętrznej korespondencji itd. Po czym można poznać, że system został zainfekowany? Nie ma niestety jednej prostej metody rozpoznania obecności bota w systemie, ale typowe objawy obejmują: f f spowolnienie działania systemu dioda dysku twardego miga nawet w czasie bezczynności pliki i foldery znikają lub zostają zmienione znajomi informują użytkownika, że otrzymali od niego maile ze spamem osobisty firewall informuje użytkownika, że jakiś program na komputerze usiłuje połączyć się z Internetem znikają ikony skrótów do programów pobranych z Internetu pojawia się więcej komunikatów o błędach niż zwykle serwis banku prosi o inne niż dotychczas dane Najlepsza obrona Wiedza o tym, w jaki sposób działa botnet, jest dobrym pierwszym krokiem do obrony przed atakiem. Drugim bardzo ważnym i prostym sposobem jest upewnienie się, że każdy używany program pochodzi z legalnego i zaufanego źródła oraz że wszystkie aplikacje są w pełni zaktualizowane i wyposażone w najnowsze łatki. Surfowanie w Internecie za pomocą niezaktualizowanej przeglądarki lub z przestarzałymi dodatkami, jak Adobe Flash czy Java, oznacza ryzyko przy każdym połączeniu systemu z Internetem. Inne metody ochrony przed botnetami: Zainstalowanie pakietu antywirusowego i regularne jego aktualizacje. Wielu producentów oferuje bezpłatne wersje, które są tak samo funkcjonalne, jak komercyjne programy innych firm. Przeprowadzanie regularnych przeglądów systemu. Wybór jednego programu antywirusowego - używanie kilku może doprowadzić do rozregulowania systemu. Używanie osobistego firewalla z włączonym powiadamianiem o każdej próbie połączenia z Internetem. Dochody botnetów Powodem, dla którego deweloperzy piszą tak wyrafinowane i złośliwe oprogramowanie jest możliwość zarabiania przy stosunkowo niskim poziomie ryzyka. Jest to związane z globalnym charakterem Internetu i możliwością ukrycia swojej lokalizacji, co powoduje, że identyfikacja właściciela botnetu, jego aresztowanie i postawienie mu zarzutów jest bardzo trudne. Właściciel botnetu może zarobić tysiące dolarów dziennie, udostępniając usługi DDoS każdemu, kto posiada kartę kredytową i powód, by wyłączyć jakąś stronę internetową. Zarządzający botami znaleźli nawet sposób podzielenia botnetów na mniejsze segmenty, co umożliwia im jednoczesne przeprowadzanie wielu ataków na wiele różnych stron. Aby wyłączyć niewielką stronę, wystarczy kilkaset zombie, na skuteczne zablokowanie większego serwisu potrzeba kilku tysięcy. Dostosowując wielkość ataków, bot master może maksymalizować swoje przychody. Badanie przeprowadzone przez Kaspersky Lab wykazało, że w 2008 roku właściciele botnetów tylko na atakach DDoS zarobili ponad 20 mln dolarów. Równie dochodowe może być sprzedawanie wykradzionych danych osobowych. Pojedyncze konto w zależności od lokalizacji można sprzedać za kwotę do 5 do 15 dolarów. Konta są z reguły zebrane w większe pakiety i sprzedawane innym przestępcom, którzy wykorzystują je do oszustw finansowych lub kradzieży tożsamości. Zainteresowani zakupem list adresów zebranych przez botnety są spamerzy, którzy płacą od 20 do 100 dolarów za każdy milion adresów. Właściciele botnetów sprzedają również usługi rozsyłania spamu - szacuje się, że koszt wysłania 20 tysięcy maili wynosi około 40 dolarów. Fakt, że niektóre botnety wysyłają po kilkanaście milionów niechcianych maili dziennie, daje wyobrażenie o wysokości dochodów wygenerowanych tą drogą. Oszukiwanie wyszukiwarek może kosztować do 80 dolarów za 20 tysięcy spamowanych linków, postów lub komentarzy. 4

5 Kolejny sposób na zarabianie pieniędzy to oszustwa w systemach Pay-per-Click. Badania przeprowadzone przez Microsoft Research wykazały, że aż jedna czwarta wszystkich kliknięć w reklamy online owe służy wyłudzeniu pieniędzy. Click Forensics szacuje, że około 17% kliknięć jest nieuczciwych, z czego około jedną trzecią przypisuje się botnetom. Opierając się na wartości wydatków na reklamę online, można oszacować przychody właścicieli botów z tej działalności na kilkanaście milionów dolarów rocznie. Zdobywanie bitmonet to kolejne łatwe źródło przychodów. Instalując oprogramowanie, które nieustannie zarabia bitmonety, właściciel botnetu może sobie zagwarantować ciągły dochód ze swojej grupy zombie. Powyżej opisane sposoby zarabiania pieniędzy nie są wykorzystywane pojedynczo zaradny operator botnetu wykorzystuje zakażone maszyny do większości (lub nawet wszystkich) tych procederów. Kto za tym stoi? Czasy nastoletnich hakerów działających w piwnicach domów swoich rodziców już minęły dzisiejsze organizacje cyberprzestępcze działają tak sprawnie, jak większość legalnych przedsiębiorstw. Jak opisaliśmy w Raporcie na temat cyberprzestępczości w 2013 roku, mają one hierarchiczną strukturę, w skład której wchodzą: zarząd (ludzie na szczycie łańcucha pokarmowego, którzy pociągają za sznurki i zgarniają większość zysków), kierownictwo średniego szczebla (zatrudnieni przez zarząd do kierowania akcjami infekowania ofiar), szeregowcy i muły wykorzystywane do transferu pieniędzy. Większość organizacji zarządzających botnetami zlokalizowanych jest w Europie Wschodniej i Rosji, gdyż tam najłatwiej jest przemieszczać fundusze i uniknąć konsekwencji prawnych, jednak mamy też do czynienia z botnetami z Chin, Tajlandii, Wielkiej Brytanii, Ameryki Południowej i USA - co pokazuje, że jest to naprawdę globalna plaga. Autorzy botnetów nie osiadają na laurach po stworzeniu sieci. Są to kompetentni programiści, którzy zawsze szukają sposobów na udoskonalenie swoich produktów, by były jeszcze bardziej odporne i trudne do usunięcia. Wciąż szukają również nowych metod zarabiania na zainfekowanych sieciach. Wykorzystując sposoby takie jak ukrywanie serwerów komend za wieloma warstwami proxy, szyfrowanie komunikacji lub nawet zerwanie z tradycyjną architekturą klient-serwer na rzecz czystej struktury peer-to-peer, nieustająco bawią się w kotka i myszkę z systemami antymalware i specjalistami od zagrożeń. Założenie Botnetu prawie nic nie kosztuje Botnety były dawniej domeną bardzo niewielkiej i bardzo kompetentnej grupy przestępców. W dzisiejszych czasach założenie i prowadzenie botnetu prawie nic nie kosztuje. Dobrze obrazuje to historia botnetu Zeus, który wyciekł do sieci w maju Każdy, kto chciał poświęcić trochę czasu na przeszukiwanie ciemnych zakątków Internetu, mógł znaleźć kopię oprogramowania i zmodyfikować ją, aby stworzyć własny botnet. W grudniu 2012 Symantec natknął się na ślad kryminalisty oferującego osobom nieposiadającym kompetencji technicznych zakup gotowego do instalacji Zeusa za 250 dolarów. Bardziej profesjonalne usługi mogą kosztować nawet tysiące dolarów miesięcznie, ale często zawierają gotowy dostęp do sieci zainfekowanych komputerów i wsparcie techniczne przez całą dobę. Jeżeli aspirujący bot master nie posiada kompetencji programistycznych, żeby stworzyć własny botnet, istnieje szeroka oferta usług, które pomogą mu spełnić jego aspiracje. Usługi doradcze wpierające w założeniu botnetu kosztują dolarów. Złośliwe oprogramowanie musi zostać rozesłane do nieświadomych komputerów, aby stać się botnetem w pełnym tego słowa znaczeniu. Istnieją sieci zwane Pay-per-Install (PPI), które zostały stworzone w celu zakażania komputerów i tworzenia botnetów od podstaw. Taka sieć potrzebuje jedynie oprogramowania i informacji o oczekiwanej liczbie infekcji, a bez przeszkód zajmie się resztą. Tutaj cena waha się na poziomie około 100 dolarów za 1000 zakażonych maszyn. Infekcje na terenie Ameryki Północnej, Unii Europejskiej czy Australii kosztują zwykle więcej niż w Azji czy Europie Wschodniej. Dla przedsiębiorców, którzy nie chcą się osobiście angażować w prowadzenie przestępczego biznesu (lub dla tych, dla których zarządzanie botnetem jest zbyt męczące) istnieje oferta wynajęcia botnetu do działalności przestępczej. Koszt takiej usługi wynosi 535 dolarów za tydzień ataków DDoS przez 5 godzin dziennie, 40 dolarów za 20 tysięcy niechcianych maili i 2 dolary za 30 postów na forach. 5

6 Metody zatrzymania rozprzestrzeniania się Botnetów Mimo że wszystko wskazuje na to, iż właściciele botnetów są górą, istnieją pewne metody, aby ich powstrzymać. Firmy, takie jak Microsoft, wystąpiły o regulacje prawne umożliwiające wypełnianie wniosków skierowanych przeciwko właścicielom botnetów, wpisując zamiast prawdziwych danych ich sieciowe pseudonimy lub John Doe (osoba o nieznanych personaliach). Ostatnio odniesiono sukcesy w zakresie kontroli rejestracji domen, podczas gdy wcześniej właściciele botnetów nie napotykali żadnych przeszkód w generowaniu tysięcy domen potrzebnych do utrzymania infrastruktury serwerów C&C. Technologie takie jak DGA również nie uszły bez szwanku. Jeżeli badacz potrafi odwrócić algorytmy używane do generowania listy serwerów, z którymi mają się łączyć boty, organizacja walcząca z botnetami jest w stanie przejąć kontrolę nad botnetem, rejestrując domeny i instalując własny serwer C&C. Ta technika jest znana jako sinkholing i może być bardzo skuteczna w zwalczaniu botnetów, zwłaszcza jeżeli malware zawiera mechanizm deinstalacji. Sinkholing jest również metodą badania botnetów, ponieważ pozwala poznać ich rozmiary, metody komunikacji botów ze swoim panem i czasami lokalizację lub dane właściciela. W zwalczaniu botnetów pomagają też Zespoły Szybkiego Reagowania (CERTy). Wiele krajów, uczelni i firm utrzymuje własne CERTy, które wymieniają się pomiędzy sobą informacjami. Ponieważ ich wspólnym celem jest walka z działalnością cyberprzestępczą, CERTy często odgrywają ważną rolę w likwidowaniu botnetów. Organizacje rządowe i prywatne będą najprawdopodobniej dążyły do zacieśniania współpracy międzynarodowej w celu uzyskania lepszych efektów obronnych, będzie też wywierana coraz większa presja na instytucje rejestrujące domeny. Ewolucja Botnetów Urządzenia mobilne jak smartfony czy tablety stają się coraz bardziej powszechne w użytku. Wraz z zalewem rynku przez te urządzenia, Laboratoria FortiGuard zaobserwowały wzmożony napływ złośliwego oprogramowania dla urządzeń mobilnych. Urządzenia mobilne stają się celem wielu twórców botnetów i niedługo będziemy świadkami pierwszych udanych prób czerpania przez nich zysków. Efektem może być defraudacja opłat za połączenia i usługi Premium SMS lub wyłudzanie okupów przez oprogramowanie ransomware. Innym ciekawym zjawiskiem zaobserwowanym przez Laboratoria FortiGuard w ciągu ostatnich lat są botnety dobrowolne, w których użytkownicy świadomie instalują botnet na swoich komputerach. Organizacje takie jak Anonymous dystrybuują do szerokiej grupy programistów i zwolenników ruchu narzędzia umożliwiające realizację ataków skierowanych przeciw firmom lub organizacjom rządowym. Ten rodzaj dobrowolnej rekrutacji nazywany jest haktywizmem. Podsumowanie Od spamu poprzez kradzież pieniędzy do szpiegowania organizacji rządowych wpływ botnetów na Internet i światową gospodarkę jest ogromny. Operatorzy botnetów są trudni do zdemaskowania, jeszcze trudniej wyciągnąć wobec nich konsekwencje prawne. Anonimowy charakter Internetu i globalny charakter zjawiska sprawiają, że ryzyko ponoszone przez cyberprzestępców jest niskie, zaś zyski niewspółmiernie wysokie. Ujarzmienie botnetów wymaga działań na poziomie globalnym, szybkości reakcji i współpracy międzynarodowej pomiędzy organizacjami zajmującymi się bezpieczeństwem. 6

7 Znane Botnety w historii 2005 Torpig: odkryty w 2005 roku, w 2008 określony przez RSA jako jeden z najbardziej zaawansowanych programów używanych do celów kryminalnych, jakie zostały do tej pory stworzone. Zaprojektowany do wykradania informacji o kontach bankowych i kartach kredytowych. Badaczom z Uniwersytetu Kalifornijskiego udało się w 2009 roku przejąć kontrolę nad botnetem na 10 dni i zidentyfikować ponad 1,2 miliona adresów IP próbujących nawiązać kontakt z serwerem C&C Virut: przypuszczalnie odpowiedzialny za ponad pół miliona infekcji na całym świecie, zdolny do realizacji wszystkich zadań: ataków DDoS, kampanii spamowych, oszustw finansowych i kradzieży danych. Działał co najmniej od 2006 roku i niedawno poniósł porażkę dzięki wspólnej akcji kilku organizacji (również z Polski) Zeus: jeden z najbardziej dochodowych botnetów w historii. Odkryty w 2007 roku Zeus został zaprojektowany, aby potajemnie monitorować komputer ofiary i przechwytywać informacje bankowe. FBI szacuje, że do tej pory Zeus mógł wykraść setki milionów dolarów. W 2010 roku pojawiła się informacja, że twórca Zeusa zakończył działalność i przekazał kod źródłowy autorowi botnetu SpyEye. W 2011 kod Zeusa wyciekł do sieci, co zaowocowało wysypem różnych wariantów tego botnetu. Infekcje spowodowane Zeusem ciągle się mnożą i są obecne na całym świecie Storm: nie wiadomo dokładnie jak wiele komputerów zainfekował ten robak, ale badania wielu różnych firm szacują wielkość tego botnetu od miliona do 50 milionów infekcji. Storm jest znany ze swojej zdolności do obrony. Jego autorzy do tej pory pozostają nieznani Conficker: odkryty w 2008 roku, miał kilka wariantów. Wczesne wersje były zwykłymi robakami, zaprojektowanymi do aktualizowania zainfekowanych komputerów do swoich nowszych wersji. Ostatni wariant conficker.e jest wykorzystywany do instalowania bota Waledac i innych rodzajów złośliwego oprogramowania Grum: znany również jako Tedroo, swego czasu największy botnet na świecie, był odpowiedzialny za wysyłanie setek miliardów maili ze spamem farmacutycznym. Botnet został zlikwidowany w lipcu Lethic: kiedyś jeden z najbardziej płodnych botnetów wysyłających spam. W szczytowym okresie miał pod kontrolą 300 tysięcy komputerów i był odpowiedzialny za rozsyłanie dziesiątków miliardów wiadomości dziennie, co dawało mu 10% udział w światowym spamie. Mimo, że botnet został częściowo rozmontowany w styczniu 2010 przez firmę Neustar, jego właścicielom udało się odzyskać pełną kontrolę 2 miesiące później. Lethic ciągle działa i szacuje się, że wysyła obecnie około 2 miliardy spamu dziennie Mariposa: początkowo wykorzystywany do cyfrowego scamu i ataków DDoS. W 2009 roku udało się go zlikwidować dzięki skuteczności hiszpańskich władz. W ciągu roku istnienia wywołał około 13 milionów infekcji i wygenerował swoim właścicielom co najmniej euro miesięcznego przychodu. Mimo że główny serwer C&C został zlikwidowany, kod źródłowy Mariposa dalej się rozprzestrzenia i jest w stanie infekować tak dużą liczbę maszyn, że znajduje się na liście Top 10 Laboratoriów FortiGuard SpyEye: stworzony w 2009 roku początkowo jako bezpośrednia konkurencja Zeusa, z identycznym celem: kradzież pieniędzy. Był nawet tak inteligentny, że potrafił wykryć na zainfekowanej maszynie obecność Zeusa i usunąć go. Kiedy w 2010 roku kod źródłowy Zeusa został przekazany autorowi SpyEye, spodziewano się, że nowe wersje będą jeszcze groźniejsze. SpyEye jest obecnie głównym źródłem zakażeń złośliwym oprogramowaniem w sieci Waledac: znany głównie ze swojej zdolności do generowania spamu. W szczytowym okresie miał do dyspozycji prawie 100 tysięcy zainfekowanych komputerów, które były w stanie wysyłać 1,5 miliarda spamu dziennie. Na początku 2010 roku Microsoft przejął kontrolę nad serwerami C&C tego botnetu i unieruchomił go. Jednak w 2012 badacze stwierdzili jego powrót. W lutym tego samego roku botnet był tak płodny, że znalazł się na liście Top 10 Laboratoriów FortiGuard ZeroAccess: odpowiedzialny za zainfekowanie od miliona do dwóch milionów komputerów, jego sieć zombie wciąż generuje miliony dolarów rocznie na handlu bitmonetami i oszustwach systemów Pay-per- Click Jeefo: powstał w 2007 roku jako pasożytniczy wirus. W 2013 Laboratoria FortiGuard zauważyły wzrost infekcji i znalazły dowody, że wirus rozwinął się w pełni funkcjonalny botnet peer-to-peer. Laboratoria FortiGuard aktualnie obserwują ten botnet i będą na bieżąco informować o najnowszych odkryciach Smoke: niedrogi instalator złośliwego oprogramowania, który umożliwia swoim właścicielom wykradanie haseł, inicjowanie ataków spamowych i instalację oprogramowania do wyłudzania okupów (ransomware). Niski koszt sprawia, że botnet ten jest łatwo dostępny dla nowych cyberprzestępców. 7

8 Lista 10 najaktywniejszych Botnetów według Laboratoriów FortiGuard w lutym 2013: ZeroAccess Jeefo Smoke Mariposa Grum/Tedroo Lethic Torpig SpyEye Waledac 10. Zeus Udane aresztowania i likwidacje Rustock: rozpoznany w 2006 roku botnet Rustock był głównym źródłem spamu, zdolnym do generowania 25 tysięcy maili na godzinę z jednego zainfekowanego komputera. W 2011 roku Microsoft wraz z policją amerykańską, firmami FireEye i Pfizer, władzami holenderskimi i innymi uczestnikami zdołali zlikwidować ten botnet, uznany za największe źródło spamu w historii. Microsoft zdołał po cichu zawiadomić sądy w USA do zajęcia infrastruktury botnetu zanim jego właściciele zdążyli przenieść serwery w inne miejsce. Bredolab: botnet zlokalizowany w Armenii i rozpoznany w 2009 roku. Władze holenderskie zdołały przejąć kontrolę nad 140 serwerami zarządzającymi botnetem. Po przejęciu botnetu jego nowi właściciele mogli przekierować zainfekowane stacje na stronę internetową informującą ich o infekcji i sposobie jej usunięcia. Obywatel Armenii został aresztowany w 2012 roku i skazany na 4 lata więzienia. Virut: odkryty w 2006 roku botnet zgromadził bazę 300 tysięcy komputerów zombie. W styczniu 2013 organizacja Spamhaus we współpracy z polskim CERT i rosyjską Group-IB zdołały sinkholować większość serwerów C&C Viruta wykorzystywanych do przeprowadzania ataków DDoS i wysyłania milardów niechcianych wiadomości. Niestety, mimo że botnet znacznie ucierpiał, część jego infrastruktury wciąż istnieje, co rodzi obawy, że wkrótce możemy być świadkami jego powrotu. Bamital: istniejący od 2009 roku, był używany głównie do oszustw w systemach Pay-per-Click i rozsiewania dodatkowego złośliwego oprogramowania, takiego jak fałszywe programy antywirusowe. W lutym 2013 Microsoft we współpracy z firmą Symantec, używając podobnych metod jak w przypadku botnetu Rustock, zlikwidowali dwie lokalizacje serwerów w USA i tym samym unieszkodliwili botnet. Bamital, według danych Microsoftu, był wielomilionowym przedsięwzięciem i zainfekował setki tysięcy komputerów. Microsoftowi udało się przejąć kontrolę nad serwerami C&C i przekierowywać zagrożone komputery na stronę internetową informującą użytkowników o infekcji i sposobie jej usunięcia. Centrala Światowa Fortinet Incorporated 1090 Kifer Road, Sunnyvale, CA USA Tel.: Fax: Fortinet Oddział w Polsce ul. Złota 59 Złote Tarasy - LUMEN II, Warszawa poland@fortinet.com Autoryzowany Dystrybutor Rozwiązań Fortinet w Polsce Veracomp SA ul. Zawiła 61, Kraków Tel.: Fax: Copyright 2012 Fortinet, Inc. All rights reserved. Fortinet, FortiGate, and FortiGuard, are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics contained herein were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, dierent network environments and other conditions may aect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied, except to the extent Fortinet enters a binding written contract, signed by Fortinet s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions as in Fortinet s internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. 8