С момента возникновения появлялись и умирали тысячи бот-сетей... Поэтому поговорим сегодня о 5, наделавших "шума" и действительно заслуживающих внимания.
1)Storm
Это самый старый ботнет в этом списке. Впервые он появился в начале 2007 года, маскируясь под видеоролики с разрушениями, вызванными необычайно сильными бурями. Для продвижения вируса злоумышленники завлекали людей, указывая в теме писем гибель Фиделя Кастро и воскрешение Саддама Хусейна. По некоторым оценкам в данный ботнет входило до 2 млн. машин.
Массивный размер этой сети позволил авторам для продажи ее спам возможностей третьим лицам. В июле 2007 года, на пике своей карьеры, ботнет генерировал 20% всего спам-трафика в интернете. В основном шел спам в продвижении медикаментов, как легальных, так и не очень. Заведовала непосредственно фармацевтическим бизнесом Canadian Pharmacy, связанная с сервисом «ГлавМед».
Также Storm защищал свои ресурсы от антивирусных исследователей. Когда обнаруживались частые обращения с одного и того же адреса для скачивания новых экземпляров червя, ботам давалась команда начать DDoS-атаку этого адреса. Кроме того, проводился ряд атак на сайты компаний, активно участвующих в противодействии спам-рассылкам.
К концу 2008 года ботнет на базе Storm утих. Одной из причин этого эксперты «Лаборатории Касперского» назвали фактическое закрытие киберкриминального хостинга Russian Business Network. По другой версии, Storm был повержен силами White Hat.
2)Conficker
Вирус начал распространяться в ноябре 2008 года. По состоянию на январь 2009-го было поражено около 9 миллионов компьютеров во всем мире. Так много потому, что Conficker использовал для автоматического распространения уязвимость службы Server операционной системы Microsoft Windows, закрытую патчем MS08-067. В апреле 2009 года размер ботсети оценивался в 3,5 миллиона.
Существует пять версий Conficker, обозначаемых буквами A (21 ноября 2008 года), B (29 декабря 2008 года), C (20 февраля 2009 года), D (4 марта 2009 года), E (7 апреля 2009 года). В терминологии некоторых антивирусных компаний используются наименования A, B, B++, C, D соответственно.
Версия Conficker.A содержала только один метод распространения — посредством эксплуатации уязвимости в службе Server. Связь с C&C обеспечивалась при помощи DGA, ежедневно генерировалось 250 доменов по псевдослучайному алгоритму. Для загружаемого файла высчитывался хеш SHA-1 длиной 512 бит, который затем использовался в качестве ключа шифрования по алгоритму RC4, этот хеш также использовался для цифровой подписи RSA с ключом 1024 бит. В отличие от последующих вариантов, не содержал в себе функций самозащиты. Также Conficker.A проверял наличие украинской раскладки клавиатуры и самоуничтожался в этом случае. Кроме того, по базе данных GeoIP с сайта maxmind.com определялась принадлежность заражаемого IP-адреса Украине, в этом случае заражение не производилось. Отсюда существует мнение, что Conficker был разработан в Украине.
В версии Conficker.B для расширения бот-сети были добавлены еще два механизма распространения — путем использования сетевых ресурсов (каталогов) со «слабыми» паролями и алгоритм заражения USB Flash (методом autorun.inf). Была усилена криптография — в качестве алгоритма хеширования был применен алгоритм MD6 (новейший на тот момент), длина ключа RSA была увеличена до 4096 бит. Появились функции самозащиты: отключался механизм обновления операционной системы и блокировался доступ (путем отслеживания DNS-запросов) к ряду сайтов, где можно было скачать обновление антивирусных баз или специальные утилиты удаления вредоносов.
Основное изменение в Conficker.C касалось механизма DGA, из-за чего некоторые антивирусные компании называют эту версию B++. В качестве ответа инициативе Conficker Working Group по резервированию имен доменов, генерируемых Conficker, разработчики увеличили их количество с 250 до 50 тысяч в сутки, что свело на нет попытки их ежедневной регистрации.
Conficker.D лишился механизмов самораспространения. Была устранена ошибка в реализации MD6 типа «переполнение буфера», допущенная разработчиком алгоритма Рональдом Ривестом. Авторы позаимствовали его код один к одному, поэтому баг оперативно пофиксили, как только Ривест о нем сообщил. Внедрен механизм P2P для обновления. Его интересной особенностью является отказ от начального списка пиров. Этот список обычно или задается внутри исполняемого кода, или размещается на публичных серверах. Conficker же находит свои пиры методом сканирования IP-адресов. Для каждого найденного IP-адреса проверялось, функционирует ли на нем Conficker. Если да, создавался поток для связи с удаленной копией. При сканировании проверялось нахождение IP в blacklist адресов антивирусных компаний, к ним обращение не производилось.
В Conficker.E вернули возможность заражения через сеть и реализовали фишку с перенастройкой шлюзов по SSDP. Наконец-то с этой версии началась «монетизация прибыли» при помощи двух методов. Первый — загрузка фейкового антивируса Spyware Protect 2009. Второй — распространение трояна Waledac, производившего кражу банковских данных и рассылку спама.
В свое время Microsoft обещали 250.000$ за установление авторов данного ботнет, но до сих пор их личности не раскрыты.
3) Zeus
Zeus — один из самых распространенных банковских троянов в мире, появившийся в 2007 году. По оценкам аналитиков, он применялся в 90% случаев банковского мошенничества. До определенного момента на основе Zeus было создано несколько сотен разрозненных ботнетов, которые контролировались разными группировками киберпреступников. Создатели Zeus просто продавали его заинтересованным лицам, а они уже с его помощью формировали собственные ботнеты. Например, в 2009 году одна из группировок провела масштабную акцию — рассылала Zeus через электронную почту, используя мощности ботнета Pushdo. По оценке компании Damballa, в США тогда было заражено около 3,6 миллиона ПК. Общее количество заражений Zeus с момента его появления оценивается в 13 миллионов компьютеров.
Разработчик Zeus известен под никами Slavik и Monstr, именно он с 2007 и до 2010 года единолично производил сбыт и поддержку своего продукта. Так продолжалось до версии 2.0, в октябре 2010 года Slavik передал исходные коды версии 2.0 своему конкуренту — разработчику трояна SpyEye и якобы прекратил дальнейшую разработку. В то же время исследователи из компании RSA обнаружили некоторые факты, позволяющие усомниться в словах Slavik’а о выходе из бизнеса. В августе 2010 года, то есть за два месяца до «официального» объявления о прекращении работы над Zeus, был обнаружен ботнет, созданный при помощи Zeus, имевшего версию 2.1, которая ни на одном «черном» форуме не продавалась. По всему выходило, что Slavik просто поменял модель ведения бизнеса, теперь он решил сформировать свой собственный ботнет, а не продавать билдер вируса всем желающим.
Если брать за основу версию, что Slavik с августа 2010 года начал развивать ветку версии 2.1, то к числу нововведений этой версии стоит отнести появление в сентябре ZeuS-in-the-Mobile (ZitMo) — трояна под мобильные платформы Symbian, Windows Mobile, BlackBerry и Android, который работал в связке с обычной версией Zeus и позволял обходить механизм двухфакторной аутентификации систем ДБО. По информации компаний Versafe и Check Point Software Technologies, в конце 2012 года версия ZitMo под названием Eurograber принесла своим распространителям прибыль в размере 36 миллионов евро (или 47 миллионов долларов).
Несмотря на заявление Slavik’а о передаче всего кода в одни руки, кто-то или пожадничал, или слил налево исходный код Zeus 2.0.8.9, который, начиная с февраля 2011 года, стал предлагаться на продажу.
После утечки сразу появились люди, начавшие клепать свои трояны на базе исходников Zeus. Из достойных последователей стоит упомянуть проект Citadel. Его ключевой особенностью стало создание онлайн-платформы, организованной по принципу социальной сети. Здесь заказчики могли запрашивать новые функции, сообщать об ошибках и добавлять собственные модули, что превращало процесс разработки в некое подобие open source проекта.
В 2014 году появилась информация, что правоохранительные органы США совместно с властями около десяти государств, среди которых были Канада, Франция, Украина и Германия, раскрыли крупную преступную хакерскую группировку, занимающеюся разработкой данного ботнета. Один из предполагаемых организаторов — 30-летний житель России Евгений Богачёв — объявлен ФБР в розыск.
4) Flashback
Для людей, которые думают: "Ну, на мак нет вирусов", Flashback был немного шоком. В 2011 году Dr.Web обнаружили первый в истории ботнет, состоящий из Apple Macintosh. Троянская программа OSX/Flashback.
Бот распространяется через зараженные вебсайты в виде Java-апплета, выдаваемого за обновление для Adobe Flash Player. Java-апплет запускает на выполнение загрузчик первого уровня, который загружает и устанавливает основной компонент троянской программы. Основной компонент представляет собой троянец-загрузчик, который постоянно соединяется с одним из командных (C&C) серверов и ожидает команд на загрузку и выполнение новых компонентов.
В то время как сеть Conficker собрала гораздо большее количество машин, Flashback получил огромное количество яблочной техники по всему миру, число которой достигало более 600 000 зараженных машин при своем пике.
Сейчас ботнет заброшен . Но поскольку все еще есть зараженные системы, кто знает, когда проснется вновь этот ботнет.
5) Mariposa
Ботнет Mariposa(с испанского "бабочка") был создан в 2009 году с помощью трояна Palevo, имевшего, по оценкам сотрудников Panda Labs, размер 12 миллионов компьютеров. Создателем ботнета была команда DDP Team (Dias de Pesadilla Team), однако сам бот разрабатывали не они, а разработчик его продавал всем желающим.
Кроме загрузки других исполняемых файлов, бот позволял перехватывать пароли в браузерах Firefox и IE, поднимать HTTP- и SOCKS-прокси, а также осуществлять TCP Syn и UDP flood (DDoS компонента). Для расширения «зоны поражения» бот имел функции самораспространения при помощи трех разных методов: MSN mesenger, пиринговых сетей и USB-девайсов.
В декабре 2009-го деятельность Mariposa была свернута: совместными усилиями компаниям Panda Security и Defence Intelligence удалось прикрыть командные серверы, которые хостились в Испании. В феврале 2010 года в Испании арестовали трех членов группы DDP Team. По утверждению испанской полиции, прорыв в расследовании случился тогда, когда один из ботоводов спалился по-детски: подключился к С&C со своего домашнего интернет-адреса, вместо того чтобы использовать VPN. Однако призвать к ответу преступников не удалось, во многом из-за того, что управление ботнетом в то время вообще не считалось в Испании преступлением. А для уголовного дела полиции пришлось бы доказать, что они воровали информацию и затем использовали ее для получения прибыли.
Создателю Butterfly Bot Матьясу Скорьянсу из Словении повезло меньше его испанских коллег. На момент разработки Butterfly Bot в 2008 году Скорьянсу было всего 23 года. Он был арестован 28 июля 2010 года. В декабре 2013 года суд Словении приговорил его к 5 годам лишения свободы за создание Butterfly Bot. Всего на продажах удалось заработать порядка 500 тысяч евро. По словам Скорьянса, стоимость базовой версии Butterfly Bot составляла 500 долларов. Усовершенствованный вариант, предназначенный для сбора конфиденциальных данных, информации о кредитных картах и доступе к системам веб-банкинга, стоил несколько дороже — 1300 долларов. По данным испанской полиции, посредством Mariposa преступники украли конфиденциальные данные более чем у 800 тысяч жертв, включая домашних пользователей, компании, государственные учреждения и университеты в 190 странах.
Несмотря на закрытии Palevo, c конца 2010 года число его носителей вновь начало расти, а к середине 2011 года был обнаружен еще один ботнет на основе Palevo, численностью около 11 миллионов, который назвали Metulji. В июне 2011 года его операторы, сербы, были вычислены и арестованы. Ребята тоже особо не заморачивались на счет своей безопасности и анонимности. Их арест проводился совместными усилиями ФБР, Интерпола, МВД Сербии и полиции Словении.