Jakiś czas temu, wszystkie możliwe media zajmujące sie spamem, botnetami i malwarem, odtrąbiły pierwszy sukces ludzkości w walce ze spamem. Spadek ilości wysyłanego spamu o około 60% (chociaż podawane są różne wielkości, od 40 i 60 do 75%, w skrajnych przypadkach nawet o 90%) spowodowany był zamknięciem jadowitej hostingowni, firemki McColo. Wyszło na to, że swoje serwery C&C miały tam trzy dobrze nam znane botnety, zajmujące się przede wszystkim spamem – Srizbi, Meda-D i Rustock.
Ponieważ pisali już o tym wszyscy, także pierwszorzędne serwisy publikujące newsy security dla jednego z dwóch dużych polskich portali (i nie tylko), ograniczę się tutaj do prezentacji własnych wniosków w tym temacie, oraz wypunktowanie bardziej interesujących aspektów całej sprawy. (Swoją drogą, może mi ktoś wyjaśni, co to jest znaczy wysyłanie różnego rodzaju spam wykorzystując metody socjotechniczne i dlaczego wykorzystuje je rootkit (!) Rustock, to będę naprawdę wdzięczny. A jeżeli mi ktoś przedstawi ekspertów, którzy to stwierdzili, to ja ich naprawdę chętnie poznam. Koniec dryfu. Uprzejmie dziękuję).
Ale do rzeczy. McColo hostował sobie różne jadowite serwisy ignorując maile przychodzące na abuse@, aż w końcu ilość skarg przekroczyła poziom masy krytycznej a czyjś odcisk został za mocno nadepnięty. Ich dostęp do internetu przestał istnieć, pula adresów została zasymilowana, trafiony – zatopiony.
Świat użytkowników standardowych zapewne odetchnął, świat ekspertów IT oczekiwał na ruch osieroconych dronów. Parę dni temu ruszyło się, oj ruszyło.
Teraz ciekawa część, jak się zachowuje botnet jak mu się odetnie łepek. Teoretycznie, cały czas jest aktywny, i np. może zakończyć kampanię spamową czy atak DDoS. Ale co się z nim stanie, jeżeli „głowa” (czyli serwer C&C) pozostanie niedostępna przez dłuższy czas? Przypomina mi się od razu Star Trek Voyager i przewijający się przez co lepsze odcinki motyw, dobrze znany wszystkim fanom (Jesteśmy Borgiem, zostaniecie zasymilowani. Opór jest daremny) i prześmiewcom (My jsme Borgové. Odpor je marný, budete asimilováni) czyli właśnie rzeczony Borg. Grupowa (nie)świadomość, jeden punkt sterowania (Królowa), miliony dronów, zaawansowane techniki bojowe, wysoka technologia – analogia wydaje się dość celna. Najpopularniejszy Borg to oczywiście, Siedem z Dziewięciu (Seven of Nine, polecam images.google.com jak ktoś nie pamięta jak ta pani wygląda). Natomiast wracając do analogii, drony odcięte od Kolektywu próbują za wszelką cenę do niego wrócić. Jak? A na różne sposoby, mają jakieś nadajniki podprzestrzene (wtedy przylatuje jakiś statek, asymiluje wszystkich wkoło i „odzyskuje” zagubione drony), zaszyty w implantach instynkt powrótu do Kolektywu za wszelką cenę i parę innych terminów w Star Trekowym Technobełkocie.
Jak się okazuje, drony rzeczonych botnetów zachowują się podobnie. Po upłynięciu jakiegoś określonego czasu, uruchamiają sobie mechanizm poszukiwania awaryjnego serwera C&C. Działa to w następujący sposób (za Fireeye): gdzieś w kodzie bota jest zaszyty mechanizm, który sobie odlicza czas od ostatniego połączenia z serwerem C&C, a następnie zaczyna się łączyć na losowo generowane domeny (i porty). Domeny wg raportu Fireeye wyglądają np. tak: gffsfpey.com , ypouaypu.com, oryitugf.com czy wwqwseed.com.
Na dzień dzisiejszy żadna z tych domen nie odpowiada adresem, co by świadczyło o tym, że operacja odzyskania kontroli nad dobytkiem życia botmasterów została wykonana z sukcesem.
Kilka danych na temat ostatniej z podanych w raporcie domen:
Registrant:
Ulugbek Asatopov
Bestekar sokak, 29
ka, 06080
Ankara, AN —
TR
+9 312 419 90 01Domain Name: WWQWSEED.COM
Administrative Contact:
Asatopov, Ulugbek ul.asatop@mail.ru
Bestekar sokak, 29
ka, 06080
Ankara, AN —
TR
+9 312 419 90 01Technical Contact:
Asatopov, Ulugbek ul.asatop@mail.ru
Bestekar sokak, 29
ka, 06080
Ankara, AN —
TR
+9 312 419 90 01Record last updated 11-27-2008 06:30:20 PM
Record expires on 11-25-2009
Record created on 11-25-2008Domain servers in listed order:
NS0.DIRECTNIC.COM 69.46.233.245
NS1.DIRECTNIC.COM 69.46.234.245
Domena jest zarejestrowana na tureckie dane, przez człowieka (albo bota!) z mailem u naszych wschodnich sąsiadów (@mail.ru). Ostatnią aktualizację domeny wykonano 27 listopada – pewnie wtedy przestała odpowiadać – a zarejestrowano ją 25 listopada. Akcja zdecydowanie szybka.
Raport mówi, że przez chwilę jedna z awaryjnych domen pokazywała na serwery w Estonii, ale ten wpis informuje, że odpowiednie ekipy zajęły się ipkiem natychmiast. Tyle, że zrobiło się już odrobinę za późno, i ipek zaczął pokazywać kolejny awaryjny serwer C&C. Szacunek za szybkość, ale efekt był mizerny – serwery C&C przeniósły się dalej na wschód…
Ogólne wnioski z tych wszystkich danych są proste. Mimo zastosowania zaawansowanych technik p2p (fast-flux), botnety na chwilę zostały wyłączone po odłączeniu dronów od ich od serwera C&C. Ile szmalu stracili na niewykonanych kampaniach spamowych, można tylko szacować. My Canadian Pharmacy już nie będzie miała zysku na poziomie 150 mln dolarów w tym roku… Teraz zapewne spróbują to wszystko nadrobić, i nawet gmail wybuchnie próbując filtrować cały ten śmietnik. No, może nie wybuchnie, ale na pewno zadymi mniej lub bardziej.
A moim zdaniem, następnym razem rozwiązania zapewniające failover i ciągłość pracy zostaną zaimplementowane w botach znacznie szybciej. Przecież o hydrafluxie pisaliśmy już w okolicach sierpnia. Widać zagrożenia ocięcia głównego serwera C&C uznali za mało prawdopodobne. Następnym razem trzeba będzie wyłączać dużo więcej dostawców bullet-proof hostingu na raz, żeby uzyskać efekt jak tym razem. Za to na pewno kilka organizacji przestępczych będzie zmuszone udzielić serii nagan swojemu personelowi odpowiedzialnemu za informatykę :->.
Ciekawe jest w sumie, że po zdjęciu głównych serwerów C&C botnety mimo wszystko odżyły. Ktoś jednak przewidział, że może nastąpić zagłada. A szkoda, bo odbudowanie potęgi zajęło by kilka miliardów wiadomości spamowych mniej…
Teraz już na pewno botnety migrują w kierunku bardziej efektywnego failovera. A legalna część rynku właśnie obserwuje wzrost liczby spamu. Nawet o 120% wg niektórych źródeł proszę Państwa…
2 komentarze do
1 grudnia, 2008 o godzinie 09:22
Juz widze te tony wiadomosci na mojej skrzynce… :S
Jestem ciekaw czy wspolczesne boty potrafia uaktualniac sie (nie tylko pobierac dane nt. „celu”), pomiedzy soba. Cos w stylu sieci rozproszonej, bez osrodka centralnego. Pytanie tylko jak mialyby sie one odszukiwac, tudziez autoryzowac.
W kazdym wypadku mam wrazenie, ze pomyslowosc szarej strefy internetu nie ma granic i jeszcze sie o tym przekonamy nie raz… ;)
1 grudnia, 2008 o godzinie 22:13
Jak na razie nikt nie odkrył botów, które potrafią w ten sposób działać, chociaż o ile pamiętam, gdzieś był white paper na podobny temat (ale gdzie dokładnie, to już nie pamiętam).
Imho zwykły upgrade modelu fast-flux do hydrafluxa zapewni właściwy poziom bezawaryjności i ciągłości dowodzenia.
A co do szukania się, to w ipv4 nie ma z tym problemu. Skan po jedym lub kilku portach nawet po całych blokach adresów, w dobie dzisiejszych łącz, to chwila moment ;-). Jak przyjdzie ipv6, to wtedy będzie jazda dopiero…