Symantec провела операцию по захвату одного из крупнейших ботнетов

Корпорация Symantec представила информацию об одном из самых крупнейших и  современных ботнетов это ZeroAccess. Его самая высокая устойчивость к самим средствам самой защиты базируется, здесь прежде всего, на использовании самих пиринговых сетей. Специалисты компании Symantec провели целый ряд лабораторных исследований, в ходе которых и были определены сами принципы «общения» ZeroAccess-ботов друг с другом и был найден сам способ обезвреживания бот-сети. Эксперты здесь также оценили само соотношение потенциальной прибыльности такого ботнета и самих затрат на его содержание это расходов на электроэнергию.                                                                                       ZeroAccess – это один из

самых крупнейших и действующих ботнетов, по самим данным Symantec в августе 2013 года и в каждый самый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн заражённых компьютеров. Где сама ключевая особенность ботнета ZeroAccess – это использование здесь peer-to-peer (P2P) сетей для передачи самих команд управления и программных обновлений. И поскольку в самой данной архитектуре этого взаимодействия самого центрального сервера управления здесь не существует, то нейтрализовать такой ботнет самым простым отключением здесь нескольких серверов самих злоумышленников практически невозможно. После самого заражения вирусом ZeroAccess компьютер здесь первым делом старается подключится к самым ближайшим компьютерам-пирам своей сети для самого обмена информацией о самих других таких же компьютерах. Таким  вот образом, боты и получают саму информацию друг о друге, что и позволяет им в дальнейшем очень быстро и эффективно распространять сами команды управления и файлы.                                                                                                                            Другой самой отличительной особенностью этого ботнета ZeroAccess является само поддержание здесь постоянного взаимодействия между самими ботами своей сети. Каждый сам бот постоянно поддерживает соединение с другими ботами с одной целью: обмена пир-листами и самими программными обновлениями, что и делает саму угрозу очень крайне устойчивой к самим попыткам её нейтрализации.

Перехват ботнета

Ещё в марте этого текущего года инженеры компании Symantec уже начали изучать  сами принципы взаимодействия ZeroAccess-ботов друг с другом только для того, чтобы модно было понять, как использовать здесь технику синкхолинга (sinkholing) для его обезвреживания. В ходе таких исследований были выявлены здесь сама уязвимость ботнета, которая и  позволяла, хоть и с самым большим трудом, осуществить синкхолинг. Эксперты провели здесь дальнейшие испытания в самой лаборатории и нашли очень действенный сам способ выведения самих пиров из-под  самого контроля ботмастера. Одновременно продолжалось и само наблюдение за активностью этого ботнета, и 29 июня сего года специалисты Symantec обнаружили, что через P2P-сеть идёт распространение самой новой версии ZeroAccess. Обновлённая эта версия содержала большой ряд изменений, главное из самых которых заключалось в самом устранении уязвимости, делавшей здесь возможным синкхолинг ботнета. Данная эта уязвимость ZeroAccess обсуждалась исследователями в самом отчёте, опубликованном в мае 2013 г., и именно и это могло стать самой причиной самого  обновления этого ботнета.                                           Итак, наблюдая здесь  за самим распространением обновления и уже имея на руках сам рабочий план,сами эксперты Symantec встали перед самим выбором: или начать операцию прямо сейчас, или подвергнуться самому риску навсегда упустить этот сам шанс. и 16 июля специалисты компании начали саму операцию по захвату контроля над самим  ботнетом, и  в результате чего, которой было очень быстро из-под контроля  выведено около более полумиллиона  таких ботов, что очень  серьёзно отразилось здесь на самой работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после этих 5 минут P2P-активности. Чтобы в самой полной мере понять последствия этой самой операции, то нужно рассмотреть сами цели использования ботнета.

ZeroAccess как сама служба доставки

Судя по самой структуре и поведению, ботнет ZeroAccess в самую первую очередь предназначен для самой доставки модулей «полезной нагрузки» на сами заражённые компьютеры, которые были направлены на получение самой прибыли и делятся они на два основных типа.

• Click fraud
  Первый тип –это троянец,  который загружает на компьютер  саму интернет-рекламу и сам же осуществляет переход по самим рекламным ссылкам как обычный и легитимный пользователь, зарабатывая здесь таким образом деньги в самих партнёрских программах типа pay-per-click (платить за клик, PPC).
• Bitcoin mining
  Второй тип – это “Bitcoin mining”.  то есть виртуальная валюта, которая представляет для самих злоумышленников здесь особый интерес. Каждая виртуальная монета зарабатывается здесь за счёт выполнения самим компьютером ряда математических операций. Такой этот способ приносит ботмастеру самую прямую прибыль и обходится  самой жертве в немалые суммы денег. Эксперты Symantec изучили сами финансовые аспекты и результаты такого вот метода, использовали для этого самое устаревшее оборудование в лаборатории самой компании.

 Сами финансовые аспекты использования  ZeroAccess

Специалисты Symantec взяли старое оборудование, которое они нашли в офисе, и с его помощью изучили сами энергозатраты и саму финансовую выгоду использования подобных таких схем, при этом рассмотрели и сам “Bitcoin mining”, и “Click fraud”, уделив здесь наибольшее своё внимание здесь первому варианту, как более энерго-затратному и приносящему самую прямую прибыль ботмастеру. Сотрудники Symantec заразили самим троянцем ZeroAccess тестовый этот компьютер и перевели его в сам режим “Bitcoin mining”, помимо всего этого в самом распоряжении специалистов был ещё  также и не заражённый компьютер, который  работал  в самом режиме ожидания. Оба компьютера здесь были подключены к ваттметрам для самого измерения уровня потребления энергии этими обеими системами. Сотрудники Symantec получили здесь очень самые любопытные результаты:

Конфигурация самого тестового компьютера:

• Модель: Dell OptiPlex GX620 Pentium D 945 3,4 ГГц 2 ГБ ОЗУ (Максимальное значение TDP – 95 Вт)
• Расход  самой электроэнергии в час в режиме “Bitcoin mining”: 136,25 Вт
• Расход электроэнергии в час в режиме ожидания: 60,41 Вт
• Скорость работы системы: 1,5 MHash/S

Примерные сами  параметры “Bitcoin mining”:

• Курс обмена Bitcoin/доллар США: 131
•  Сам параметр «сложности» Bitcoin: 86933017,7712

Для того, чтобы оценить, во что ZeroAccess обходится ни о чем не подозревающим самим жертвам, сотрудники Symantec высчитали саму разницу в энергетических затратах между самим  режимом ожидания и режимом “Bitcoin mining”. В этих испытаниях Symantec сама  разница составила 1,82 КВт⋅ч в день, что для самой  отдельно взятой здесь жертвы не выглядит очень  слишком затратно.

•  Сам расход электроэнергии в режиме “Bitcoin mining”: (136.25/1000)*24 = 3.27 КВт⋅ч в день
• Расход электроэнергии в самом  режиме ожидания: (60.41/1000)*24 = 1.45 КВт⋅ч в день
• Разница: 1.82 КВт⋅ч в день

Эти сами цифры дают здесь представление о самом  влиянии ZeroAccess на отдельно взятый компьютер, и где можно представить саму стоимость и последствия деятельности самого  ботнета, который насчитывает более 1,9 млн. подобных систем.

Если  сам 1 КВт⋅ч стоит $0.162, то 24 часа работы  режима “Bitcoin mining” одним ботом обходятся в $0.29. Но если здась умножить эту цифру на 1.9 млн., то мы сам видим расход электроэнергии в 3458000 КВт⋅ч (3458 МВт⋅ч достаточно здась для того, чтобы целый день освещать 111000 домов). Такое большое количество энергии эквивалентно $560887 в день и значительно превышает саму выработку крупнейшей электростанции в штате Калифорния – Мосс-Лендинг, которая производит 2484 МВт. При этом само количество этих виртуальных монет здесь будет эквивалентно $2165! При вот таком раскладе, если за саму электричество платят злоумышленники, то  “Bitcoin mining” оказывается здесь экономически нецелесообразным предприятием. Однако, если он осуществляется за сам  счёт других,  то это в корне меняет саму картину и делает такое само  предприятие крайне очень  привлекательным

Остановить P2P-ботнет очень сложно, но не невозможно

Этот сам  пример показал, что, несмотря на саму устойчивость P2P-архитектуры ботнета  ZeroAccess,  самим специалистам Symantec все же здесь удалось отключить  самую большую часть его ботов. А это означает, что эти сами боты больше не смогут здесь получать команды от самого  ботмастера, обновляться, а также осуществлять ту или иную самую  вредоносную деятельность.

Сейчас Symantec работает вместе с самим интернет-провайдерами и группами реагирования по всему миру, только  для того, чтобы распространять эту саму  информацию и работать над самой  очисткой заражённых компьютеров.

источник "Лаборатория Каспнрского"