Читать «Компьютерра #25-26 (789-790)» онлайн - страница 23

В начале нынешнего года команда исследователей из Калифорнийского университета в Санта-Барбаре решила поставить изучение криминальных ботнетов на качественно новый уровень и попытаться «угнать» одну из таких сетей у их владельцев. В качестве объекта был выбран чрезвычайно продвинутый ботнет Torpig, также известный под именами Sinowal или Anserin. Поскольку попытка угона была тщательно подготовлена и прошла весьма успешно — по крайней мере, в начальных фазах, — калифорний-цам удалось узнать массу действительно новых вещей о тайной жизни крупных ботнетов, управляемых из преступного мира. Наиболее существенные из этих открытий изложены в отчете, опубликованном в Сети.

В ЦЕНТРЕ ШПИОНСКОЙ АРМАДЫ

Итоговая статья калифорнийской команды имеет объем около полутора десятков страниц убористым шрифтом и более чем заслуживает полного с нею ознакомления. Здесь же мы вкратце изложим лишь наиболее примечательные моменты исследования (заметим, что угон ботнета Torpig длился десять дней и предоставил ученым огромное количество материалов для анализа). Самой интересной частью отчета, безусловно, является рассказ о том, как исследователям удалось угнать у хозяев столь изощренный ботнет, про который было известно, что он регулярно меняет сетевые адреса своего центра управления (С&С). Сотрудники университетской лаборатории компьютерной безопасности сумели разобраться, каким образом бот в зомби-машине решает, куда ему обращаться за очередными инструкциями. Иными словами — как работает алгоритм вычисления очередного адреса для размещения С&С. В частности, было установлено, что ботнет использовал особую технологию для псевдослучайной генерации адресов, получившую у исследователей название «поток доменов» (domain flux). В соответствии с этим алгоритмом боты Torpig (а также других продвинутых бот-нетов) регулярно, скажем, раз в неделю, обращаются к новым веб-сайтам с разными именами. Этот прием, как легко догадаться, направлен на то, чтобы максимально затруднить охотникам за ботнетом (правоохранительным органам или конкурентам-угонщикам) предугадывание дальнейших ходов системы.

Впрочем, восстановить довольно простой и сугубо детерминированный алгоритм генерации адресов для опытных аналитиков не составило большого труда — достаточно было лишь установить, где именно спрятан его код. После этого уже можно было определить, к каким сайтам боты Torpig станут обращаться в дальнейшем за новыми инструкциями. Говоря упрощенно, Torpig брал за основу «случайного» имени номер текущей недели и год и генерировал блок новых доменных имен, добавляя в конец суффиксы .com, .net и .biz.

Университетская команда заметила, что владельцы ботнета регистрировали нужные домены лишь за несколько недель до наступления соответствующей даты, поэтому «угонщики» немного их опередили, вычислив, к каким именам Torpig вскоре должен обращаться, купили эти имена и разместили на веб-хостах, известных своим безразличием к сигналам о злоупотреблениях арендаторов. Этот трюк позволил команде выдать себя за новый С&С и начать прием всех данных, собираемых ботнетом Torpig, Как только исследователи обнаружили, что их затея удалась, они не мешкая связались с ФБР и Министерством обороны США, посвятили их в суть операции и, грубо говоря прикрыли собственные задницы на случай возможных осложнений.