次のボットネットが民間企業と政府機関の共同の努力によって打ち負かされるたびに、次のボットネットは 、次のより高度で洗練されたものに置き換えられます。 野生のように-コンピューターウイルスやその他のマルウェアの中で、最も強いものが常に勝ちます。
カスペルスキーは、現在活発に機能している最も興味深いボットネットの1つ、いわゆる TDL-4ルートキットに基づいて構築されたAlureon(Esetは最近Habréのブログで書いています)。 そして、ここで本当に見るべきものがあります-ボットネットのアーキテクチャと基礎となる技術は、さまざまなインターネット出版物によって「破壊不可能」であると即座に特徴付けられました。 450万台の感染マシンも、使用されているアーキテクチャの強度を暗示しています。
実際、TDL-4は元々、法律、ウイルス対策プログラム、または競合するボットネットによる破壊または削除を避けるために設計されました。 TDL-4は、インストール時に他のすべての悪意のあるソフトウェアをホストコンピューターから削除し、マシンのユーザーがマシンの奇妙な動作に気付かないようにし、通常の動作を復元しようとしません。 目標はホワイトデーとして明確です-ほとんどの場合、プログラムではなくユーザーがコンピューターの変化(データパケットの急激な「バースト」、パフォーマンスの低下など)に気付くのはユーザーであるため、ルートキットは目立たないままにしようとします。
模倣を可能な限り効果的にするために、ルートキット(またはブートキット)は、オペレーティングシステムの読み込みを担当するハードディスク(MBR)のマスターブートレコードのパーティションに感染します。 これは、ウイルス対策はもちろんのこと、OSの前にルートキットコードがロードされることを意味します。これにより、ルートキットコードを見つけて削除する作業がさらに簡単になります。 TDL-4は、SSLを使用してネットワークトラフィックを暗号化し、他の有用なプログラムと悪意のあるプログラムによる検出を回避します。
Alureonの最も注目すべき機能は、ノード間で通信するために、 Kad分散型P2Pネットワーク(たとえば、eMuleによって使用される)の使用です。 ボットネットは、その助けを借りて、感染したマシンの独自のネットワークを作成し、中央サーバーを使用せずにトラフィックを交換できるようにします。また、ネットワークを拡張する新しいコンピューターを見つけます。
これは、ネットワークの安定性を高めるためだけに行われます。 結局、ボットネットに対する以前の攻撃はすべて、中央ノードの位置を決定するマイクロソフトの助けを借りて、コマンドとコントロールセンターを仕事から切り離した政府機関の助けを借りて実行されました。 原則として、このようなサーバーは通常あまり多くありません-数十個ですが、スパム、DDOS攻撃などはそれらを介して行われます。 また、ボットネットの最大の脆弱性を表しています。
Alureonは競合他社とは一線を画しています。1つ目はそのようなセンターを約60使用していることです。2つ目は、揺るぎない存在を必要としないことです。ピアツーピアの原則に基づいて構築されているため、サーバーに対して。 暗号化によりそれらを非表示にでき、分散ネットワークを使用すると中央ノードの場所を変更できます。
もちろん、ルートキットはP2Pネットワークを使用してボットネットを構築していましたが、非常にまれで例外的な状況では、それらのサイズはAlureonが成長したサイズに似ていました。 これにより、ネットワーク内の通信に柔軟性がもたらされるだけでなく、破壊に対する高い耐性も得られます。 したがって、他のボットネットに対して使用される手法は、この個人に対して効果がない場合があります。
悪意のあるソフトウェア自体は、主にファイル共有サイトやポルノサイトを通じて配布されます。 最近、ルートキットを含むページにネットワークユーザーを誘導する悪意のあるDNSサーバーをコンピューターに強制的に使用させるDHCPサーバーを作成することにより、コンピューターに感染する別の方法が見つかりました。 TDL-4コードのもう1つの注目すべき機能(TDSSと呼ばれる)は、プログラムをコンピューターにダウンロードする追加のプロキシサーバーを作成することによる検索エンジン結果の「中毒」です。
スパムやDDOS攻撃などの従来のサービスに加えて、このボットネットのオペレーターは、ネットワーク上のコンピューターをインターネットトラフィックを匿名化するプロキシサーバーとして使用する独占的な機会を提供します。 月額わずか100ドルで、このような匿名プロキシシステムを使いやすくする特別なFirefoxプラグインも提供されます。
このようなボットネットを破壊することは簡単な作業ではありません-その研究者は感染したコンピューターの数に関する統計を取得するために特別に設計されたサーバーリクエストについて既に話し合っています-カスペルスキーの専門家は、ボットネットが動作するプロキシを含むモルドバ、リトアニア、米国にあるいくつかのデータベースを発見しました。
また、作品へのコメントでは、企業ネットワーク(http \ httpsプロキシを使用)で、DNSサーバーログを使用して感染したマシンを見つけることができると言われています-マシンからプロキシサーバーへのDNSクエリ(通常はDNSクエリ)プロキシサーバーから取得します)。
ArsTechnica経由のRRW経由のKaspersky Lab