Dark Reading zawsze świeży, zawsze zdrowy. Tym razem dość interesujący artykuł na temat tego, co się dzieje z botami po oderwaniu im głowy, ewentualnie po deaktywacji wszystkich zaszytych w nich domen służących do odnalezienia w sieci serwera C&C albo innego pośrednika. Artykuł opisuje pomysł znanej nam skądinąd fundacji Shadowserver. Na czym polega pomysł? Otóż fundacja zamierza w szczytnym naukowym celu „przejmować” boty, które w dowolny sposób utraciły zdolność podłączenia się do C&C. W końcu trwa walka pomiędzy Ciemną Stroną Mocy a resztą świata, serwery C&C są wyłączane, domeny są kasowane. Z oczywistych względów nikt nie przejmuje botów, bo po pierwsze nie bardzo jest jak, a po drugie patrz dylemat moralny z innego posta.
Panowie zamierzają to osiągnąć w bardzo prosty sposób: przejmować domeny likwidowane za malware i kierować cały ruch na te domeny do swoich serwerów analizujących.
Cel szczytny, żaden bot się nie wymknie, będzie prościej analizować i śledzić poczynania botmasterów i takie tam marketingowe plapla.
Pochwalili się też, że znaleźli dwie luki bezpieczeństwa w kodzie botnetu Black Energy, który był użyty do ostatnich ataków na Gruzję. Wykryto kilka błędów typu XSS i jeden pozwalający na Podłączenie się do serwera C&C bez autoryzacji. To by tylko potwierdzało, że w każdym oprogramowaniu są błędy – także w złośliwym ;-).
W tekście postawiono także ciekawą hipotezę. Skoro w botach są luki bezpieczeństwa, to może się okazać, że teraz nastąpi wielka apokalipsa, w wyniku której, podobnie jak w znanym filmie „Nieśmiertelny”, pozostanie tylko jeden (botnet). Takie Wojny Rdzeniowe tyle, że w życiu.
Chciałbym tutaj zgłosić moje votum separatum od tej tezy. Nie raz obserwowałem ruch od zainfekowanych panów klientów, którzy potrafili łapać po dwa czy trzy szkodniki. Obserwowałem też rekordzistę, który został zwerbowany do pięciu różnych botnetów. Trzyosobowa komisja w składzie ja, ja i ja przyznała temu panu Order z Ziemniaka…
Nie wydaje mi się także, żeby w boty była „zaszywana” funkcjonalność tropienia i neutralizacji „kolegów”. Bot nie jest oprogramowaniem AV, a nawet gdyby był, miałby te same problemy co większość antywirusów – słaba wykrywalność, konieczność aktualizacji baz sygnaturek oraz baz luk w oprogramowaniu konkurencji (a te bazy ktoś musiałby aktualizować i szukać innych dziur, co powodowałoby konieczność uruchomienia własnej infrastruktury w celu łapania i analizowania konkurencji i tak spiralka się nakręca…). Niewykonalne, nierealne, niepotrzebne. Prościej jest załatać system po udanej infekcji i na tyle szybko zmieniać własną binarkę, żeby nie była wykrywana przez aktualizacje oprogramowania AV. A to już boty potrafią i jak widać w życiu, jest to wydajny i efektywny sposób.
Jeszcze w czasach botów komunikujących się w oparciu o protokół IRC były boty, które snifowały ruch pod kątem właśnie komunikacji ircowej po to, żeby przejmować konkurencję. W dobie szyfrowanej komunikacji po protokołach p2p, podglądanie ruchu raczej nie ma wiele sensu…
Wojny Rdzeniowe raczej nam nie grożą. W sumie szkoda ;-), botnety wybiłyby się same, a z tym ostatnim byłoby już dużo łatwiej walczyć. Osobiście jednak stawiałbym bardziej na jakiś mroczny pakt i podział stref wpływów niż tego sortu wyniszczającą walkę. Za duże pieniądze wchodzą tutaj w grę…