Отчет компании MessageLabs по "зомби"-сетям

Компания MessageLabs ежемесячно публикует тематические отчеты по информационной безопасности. Каждый отчет посвящен какой-то конкретной актуальной именно в данный момент теме. В сентябрьском отчете эксперты компании рассмотрели все "за" и "против" технологии SPF (Sender Policy Framework). Октябрьский отчет, о котором и пойдет речь далее, посвящен сетям "зомби"-машин. Следует заметить, что исследования MessageLabs снискали большой авторитет в среде аналитиков и технических специалистов в сфере информационной безопасности. Ссылки на отчеты компании можно найти почти в каждой статье по безопасности информационных технологий. Успех исследований компании MessageLabs объясняется объективностью (компания ничего не рекламирует и ни за что не агитирует), свежестью (отчеты содержат эксклюзивные результаты последних исследований) и актуальностью предоставляемой информации.

В течение октября компания MessageLabs проверила более 1,91 млрд. электронных писем (то есть более 84 млн. писем в день), из них более 1,47 млрд. (то есть 76,76%) оказалось спамом. Аналитики любят представлять подобную статистику еще одним способом: из тринадцати посланных писем - десять были спамом. Таким образом, фильтры компании перехватывали по 565,56 нежелательных писем в секунду.

За этот же период времени компания проверила на вредоносные коды более 2,29 млрд. почтовых сообщений, из них 71 миллион или 3,1% были инфицированы. То есть одно зараженное сообщение приходилось на 32,24 письма. Фильтры компании детектировали 27,51 инфицированное письмо в секунду.

Особое место в отчете MessageLabs заняли сети "зомби"-машин, состоящие из подконтрольных злоумышленникам компьютеров. Каждая "зомби"-машина заражена вредоносной программой, постоянно подключена к Интернет и используется для рассылки спама или вирусов. Проблема "зомби"-сетей впервые привлекла к себе всеобщее и по настоящему глобальное внимание несколькими месяцами ранее в этом году, когда один из самых крупных поставщиков широкополосной связи в мире - Comcast - обнаружил, что несет единоличную ответственность за большую часть спама в Интернет. Клиенты Comcast отсылали более 800 млн. сообщений в день (по сведениям Senderbase), при этом лишь 12% сообщений отправлялось через корпоративные почтовые сервера. Подавляющее большинство сообщений было спамом, который рассылали зараженные вирусами компьютеры.

Крупным провайдерам очень важно научиться бороться с подобными "зомби"-рассылками. Сейчас некоторые из них закрыли TCP-порт 25, который используется для отсылки писем через протокол SMTP. Для пользователей системы Linux это сразу же создало проблему. Хотя таких пользователей не очень много, все же провайдерам пришлось потратить немалые деньги на организацию службы поддержки, которая могла бы помочь перенастроить программное обеспечение клиентов.

Сегодня многие организации оказывают на провайдеров большое давление, чтобы те хоть как-то снизили поток нежелательных писем. В связи с появлением инициативы CAN-SPAM, которая подразумевает целевой маркетинг и законную рассылку спама, и внедрением новых стандартов борьбы со спамом, мы можем ожидать уменьшения числа нежелательных писем в ближайшее время. Тем не менее, на данный момент объемы спама растут очень высокими темпами. Проблема приобрела характер эпидемии.

Сегодня появилось очень много компаний, продающих программное обеспечение для цивилизованного целевого маркетинга (в рамках инициативы CAN-SPAM). Но помимо этого существует целая индустрия нелегальных программных средств для рассылки спама через почтовые серверы в Азии, которые динамически меняют IP-адрес каждые несколько минут, чтобы обмануть фильтры.

Спам рассылают также через сети "зомби"-машин, зараженных, например, вредоносными кодами семейства Sobig. С января 2003 года компания MessageLabs идентифицировала более 17 млн. писем, зараженных червями Sobig разных версий - от A до F.


Эволюция семейства червей Sobig

Проблема "зомби"-машин усугубляется тем, что спамеры создают целые фермы серверов на "окраинах" нашей планеты. Подобные фермы рассылают по нескольку миллионов сообщений в день. Спамеры также пользуются всеми благами современной технологии, а именно - VPN (Virtual Private Networks - виртуальными частными сетями). На практике это означает шифрование всего трафика внутри VPN, что очень сильно затрудняет расследование подобных случаев. Стоит также упомянуть, что во многих странах, облюбованных спамерами, царит очень благоприятный юридический климат, делающий экстрадицию незаконной. Таким образом, расследование случаев массовой рассылки спама сводилось к очень упрощенной модели "один спамер - один сервер", которая сейчас уже не актуальна и не эффективна.

Для того чтобы превратить компьютер в "зомби", злоумышленники используют вредоносные коды. Начиная с 2003 года, процесс заражения компьютера и развертывания на нем вредоносной системы удаленного администрирования приобрел составной характер. Это означает, что вирус "первого уровня" после своего попадания на компьютер обращается к основному узлу в Интернет и переписывает с него компонент "второго уровня". Именно этот скачанный из сети вредоносный код "второго уровня" (а подчас и "третьего уровня") является носителем основных вредоносных функций.

С точки зрения разработчиков антивирусных решений, такой подход позволяет быстро вычислять подобные вредоносные узлы-поставщики и оперативно закрывать их. В этом случае зомби-клиенты остаются не удел (оторванными от "узла-мамочки").



Доля инфицированных электронных почтовых сообщений

Обычно адрес "узла-мамочки" хранится в зашифрованном виде, но его всегда можно проанализировать и расшифровать (а потом закрыть ресурс). Но злоумышленники используют более изощренные способы - они устанавливают на компьютеры-"зомби" сразу несколько компонентов второго уровня, периодически обновляющихся через Интернет. Это значит, что код вируса сам по себе может быть обновлен, а найденный в нем баг исправлен с помощью соответствующей заплатки. Также особенно часто обновляются порты TCP/UDP и IP-адреса вредоносных узлов-поставщиков. То есть "зомби"-сеть по-прежнему живет и развивается.

Sobig - один из тех "червей", который показал всю мощь "зомби"-сетей и высокую эффективность их применения в криминальных целях. Механизм работы червя подразумевает использование вредоносного компонента второго уровня для того, чтобы развернуть на компьютере-жертве и контролировать компонент третьего уровня, которым является открытый proxy-сервер.

Эти зомби-машины позволяют спамерам рассылать сообщения и оставаться анонимными. Примерно 70% спама, перехваченного компанией MessageLabs за последний год, было разослано с помощью сетей "зомби"-машин.



Доля сообщений, идентифицированных как спам

Многие антивирусные эксперты отметили, что составная часть Sobig, компонент третьего уровня (proxy-сервер) был по своей сути гениальным творением. Антивирусное программное обеспечение не может засечь финальную часть установки этого вредоносного компонента, если только не нарушит условия лицензии программного продукта WinGate Proxy Server. Этот факт указал на необычайную важность использования персонального брандмауэра, позволяющего "задушить" червя в зародыше.

Не стоит забывать, что постоянная борьба идет на еще одном фронте - отыскания вредоносных узлов-поставщиков и их скорейшего закрытия. Это необходимо делать до того, как "зомби"-сеть становится активной. В случае с червем Sobig.F антивирусным экспертам удалось прикрыть все точки скачивания компонентов червя вовремя.

После того, как Sobig.F появился в августе 2003 года, стало ясно, что это - не обычный вирус или троянец. Были очевидны причины его создания - криминальные и финансовые. Злоумышленники поняли, что следует прятать адреса узлов-поставщиков каким-то новым способом, потому что это - именно то узкое место, которое позволяет обезвредить "зомби"-сеть. Были использованы новые технологии, в частности в вирусе Fizzer контроль над машиной-"зомби" осуществлялся с помощью технологии IRC через чаты в Интернет.

Сегодня создатели вредоносных кодов сделали еще один шаг вперед: вместо того чтобы связываться с "узлом-мамочкой", "зомби"-клиент сканирует Интернет в поисках своих собратьев. После того как "зомби"-клиенты нашли друг друга, каждый их них передает собрату информацию о других найденных "зомби"-клиентах. Такое динамическое взаимодействие уже не подпадает в сетевую модель "точка-точка". Здесь нет серверов, с которыми связываются клиенты.

Первым вредоносным кодом, который использовал подобную технологию, является троянец Backdoor-BAM, также известный под именами Calyps, Backdoor.Sinit или Sinit. При работе Sinit не использовал "узлы-мамочки", в нем не было списка IP-адресов тех серверов, которые можно закрыть и разом обезвредить всю "зомби"-сеть. По мере роста "зомби"-сети, создаваемой Sinit, каждая новая модификация вредоносного кода сразу же распространялась на уже развернутые "зомби"-клиенты. Более того, это была не та сеть, в которую можно легко влезть и вести журнал событий. Доступ контролировался с помощью цифровых ключей, то есть, единственный человек, который мог контролировать сеть, это её создатель.

Sinit - необычайно гибкий, масштабируемый и расширяемый вредоносный код. Для такого "зомби"-клиента найти своего сородича - лишь дело времени. Не говоря уже о том, что отсутствие узла-поставщика новых вредоносных компонентов не позволяет разом победить "зомби"-сеть.

Без сомнения, Sinit является частью прибыльного и продуманного плана. Примитивные копии Sinit начали появляться с конца 2003 года. Созданная ими "зомби"-сеть, эволюционирует с тех самых пор. По предварительным расчетам существующая Sinit-сеть насчитывает десятки тысяч компьютеров-зомби. Что будет дальше - неизвестно...