В докладе будет рассказано о том как возникают ботнеты. Свойственно ли это Windows или есть ботнеты на основе других ОС. Для чего могут использоваться ботнеты в криминальной деятельности. Как Microsoft борется с ботнетами.
2. 10 самых распространенных семейств
зловредного ПО
Что такое ботнеты и как в них попасть?
Архитектура ботнета Waledac
Опыт борьбы Microsoft и партнеров с
ботнетами
3. Данные о зловредном ПО были собраны с 600
миллионов компьютеров обслуживаемых средствами
безопасности Microsoft такими как:
• Malicious Software Removal Tool
• Microsoft Security Essentials
• Windows Defender
• Microsoft Forefront Client Security
• Windows Live OneCare
• Windows Live OneCare safety scanner
http://www.microsoft.com/security/sir/
6. Годовой
Семейство Категория 1 кв 2010 2 кв 2010
график
Win32/FakeSpypro Miscellaneous Trojans 1,244,353 1,423,528
Поддельный антивирус.
Заражает систему с позволения
пользователя.
Запугивает и заставляет
покупать поддельное ПО для
лечения.
7. Годовой
Семейство Категория 1 кв 2010 2 кв 2010
график
Win32/Alureon Miscellaneous Trojans 1,463,885 1,035,079
Предлагает поставить
кодеки для проигрывания
видео.
Кто же откажется?
Бесплатно!
Вызывает BSOD при
обновлении ОС
8. Годовой
Семейство Категория 1 кв 2010 2 кв 2010
график
Win32/Zwangi Misc. Potentially Unwanted Software 542,011 859,801
Предлагает
бесплатный
скринсейвер.
Устанавливается с
разрешения
пользователя.
10. Годовой
Семейство Категория 1Q10 2Q10
график
Win32/Conficker Worms 1,496,877 1,663,349
Использует для распространения 3 уязвимости в Windows. В пике эпидемии
доходил до 6,5 млн зараженных хостов.
Обновление устраняющее уязвимость выпущено за 3 месяца до эпидемии!
Более 90% клиентов обновилось в течении первой недели. Заражены те,
кто не установили обновление в течении трех лет.
11. 9 из 10 распространенных
злонамеренных приложений
устанавливаются в систему с согласия
пользователя!
По данным AVG Technologies заражение
через социальную инженерии происходит в 4
раза чаще чем с помощью уязвимостей в ОС
и приложениях любого производителя.
12. Поддельный вебсайт с IE9 попал в топ поисковой выдачи Bing и Google
за счет рекламы. Заблокирован IE9 SmartScreen Filter
13.
14.
15. Тестировалось на 500000 машин с известными
уязвимостями. Результативность заражения 31%
37% - Java JRE
32% - Adobe Reader и Acrobat
16% - Adobe Flash.
10% - Internet Explorer
3% - Apple QuickTime
2% - Центр справки и поддержки Windows
Исследование CSIS
http://www.theregister.co.uk/2011/09/28/window_malware_infection_exposed/
16. Обнаружение зловредного ПО на каждую 1000 запусков антивируса
Заражение руткитами по данным Avast Antivirus
74% - Windows XP
17% - Windows Vista
12% - Windows 7
17. SEHOP SEHOP
Включено по Heap Heap Критические уязвимости через
Win7
умолчанию terminate terminate год после выпуска
Выключено по
DEP DEP 70
умолчанию
ASLR ASLR 60
SEHOP SEHOP SEHOP 50
Vista Heap Heap Heap
SP1, terminate terminate terminate 40
SP2 DEP DEP DEP 30
ASLR ASLR ASLR
20
SEHOP SEHOP
Heap Heap 10
Vista
terminate terminate 0
RTM
DEP DEP Windows XP Windows Vista Windows 7
ASLR ASLR
SEHOP SEHOP SEHOP
Heap Heap Heap
XP
terminate terminate terminate
SP3
DEP DEP DEP
ASLR ASLR ASLR
SEHOP SEHOP SEHOP
Heap Heap Heap
XP
terminate terminate terminate
SP2
DEP DEP DEP
ASLR ASLR ASLR
IE 6 IE 7 IE 8 IE 9
18. Обучать пользователей защите от социальной
инженерии.
Smart Screen в Internet Explorer защищает от
99% социальных атак.
Обновлять системы и приложения.
Большинство атак выполняется с
использованием очень старых уязвимостей
Enhanced Mitigation Experience Toolkit (EMET) v2.0
19. Работа в системе с правами обычного пользователя
предотвращает атаки на:
75% - критических уязвимостей Windows 7
100% - уязвимостей Microsoft Office опубликованных в
2010 г.
100% - уязвимостей Internet Explorer опубликованных за
2010 г.
64% всех уязвимостей в продуктах Microsoft
опубликованных в 2010 г.
Исследование BeyondTrust за 2010 г
22. Ботов на 1000
Страна Удалено в 1 кв 2010 Удалено в 2 кв 2010
проверенных ПК
1 United States 2,163,216 2,148,169 5.2
2 Brazil 511,002 550,426 5.2
3 Spain 485,603 381,948 12.4
4 Korea 422,663 354,906 14.6
5 Mexico 364,554 331,434 11.4
6 France 344,743 271,478 4.0
7 United Kingdom 251,406 243,817 2.7
8 China 227,470 230,037 1.0
9 Russia 181,341 199,229 4.3
10 Germany 200,016 156,975 1.4
11 Italy 191,588 130,888 2.6
12 Turkey 91,262 98,411 4.7
13 Canada 96,834 87,379 1.4
14 Netherlands 115,349 77,466 2.5
15 Colombia 76,610 71,493 5.8
16 Portugal 83,379 68,903 5.7
17 Australia 72,903 66,576 2.8
18 Poland 87,926 62,704 3.9
19 Taiwan 52,915 54,347 3.4
20 Japan 63,202 52,827 0.6
23. Psyb0t
100.000 ADSL зараженных маршрутизаторов Netcomm NB5.
Заражает прошивки OpenWRT и DD-WRT.
Подбирает пароли SSH, FTP, telnet
Атакует phpMyAdmin и MySQL.
Chuck Norris - Аналогичен PsyB0t + атакует ТВ приставки
Ботнеты на Android от 40 до 150000
http://s1.securityweek.com/report-reveals-emerging-trend-
android-botnet-infections
http://www.xakep.ru/post/58265/default.asp
24. 1) Злоумышленник создает
зловред сам или покупает его
2) Доступ к части ботнета на рынке. Затем использует
продается другим его для заражения целей
злоумышленникам или продает другим.
3) Доступ к 4) Ресурсы ботнета
ботнету используются для
получен множества аттак
одновременно
5) Свободные ресурсы
используются для заражения и
добавления новых узлов в
ботнет
25. Цена за тысячу зараженных компьютеров:
• США и Великобритания – от 110$ до 180$.
• Европа - от 20$ до 60$.
• Другие страны - менее 10$.
Цена варьируется в зависимости от того что можно
найти на зараженных ПК и скорости подключения в
Интернет.
26. Ботнет комплекты в продаже:
• Zbot (Zeus)
• Spyeye
• Mariposa
• Black Energy
• ButterFly
• Reptile
• Zombiem
• Ice-X
Цена на комплект варьируется от
10000$ до 5$.
Справится даже ребенок!
27.
28. Аналог облачных
вычислений:
• Выполняет задачи
нескольких
заказчиков
одновременно
• Эластичен и
представляет
почти
безграничные
ресурсы
• Оплата за
потребляемые
ресурсы
30. IP адреса узлов
Спам сообщений отправителей
Lethic
Lethic
Rustock
Rustock
Cutwail
Bobax
Cutwail
Grum
Bobax Storm
Grum
Все остальные Все остальные
31. Lethic крайне
агрессивно рассылает
спам с малого
количества IP адресов.
Rustock использует
много IP адресов и шлет
с каждого понемногу.
За счет этого
обнаружить Rustock
сложнее.
46. Без команд с C&C сервера боты впадают в спячку.
MS не может удалить ботов с зараженных ПК. Это будет
вмешательством в частную жизнь.
Образцы ботов добавляются в антивирусные продукты MS и других
производителей. Обмен образцами идет через Microsoft Active Protection
Program (MAPP)
Интернет провайдерам сообщаются адреса зараженных машин через
программу Global Infrastructure Alliance for Internet Safety
Пользователям рекомендуется использовать:
Malicious Software Removal Tool
Microsoft Safety Scanner
Microsoft Security Essentials
Постепенно боты удаляются антивирусами.
47. Операция b49
Захват ботнета Waledac
1.5 миллиардов спам сообщений ежедневно. В процессе исследования
найдено полмиллиона паролей от почтовых ящиков пользователей и ftp
серверов.
Операция b107
Захват ботнета Rustock. В пике своей активности рассылал 80%
мирового спама. Примерно 2000 спам сообщений в секунду.
Захват ботнета Coreflood
ФБР при содействии Microsoft захватила ботнет Coreflood отвечающий
за финансовые преступления на сумму 100 миллионов долларов
Операция b79
Захват ботнета Kelihos
Совместная операция Лаборатории Касперского и Microsoft. Kelihos
можно назвать Waledac 2.0