«Лаборатория Касперского» публикует статью о ботнетах «Фабрика наживы»

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, сообщает о публикации аналитической статьи «Фабрика наживы». Материал посвящён расследованию обычного на первый взгляд спам-инцидента, приведшему к раскрытию изощрённой схемы создания и эксплуатации ботнетов.

Авторами статьи являются эксперты «Лаборатории Касперского»: старший вирусный аналитик Сергей Голованов, руководитель группы развития инфраструктуры Лаборатории контентной фильтрации Игорь Суменков и вирусный аналитик Мария Гарнаева.

Ботнеты — это сети компьютеров, заражённых вредоносными программами ботами, которые обеспечивают киберпреступнику полный удалённый контроль, в том числе возможность осуществлять массированные DoS-атаки, рассылки спама и другие злонамеренные действия. Легальный владелец незащищенного компьютера часто не знает, что его машина стала частью ботнета, так как боты действуют в скрытом режиме.

Задачей киберпреступников является создание и эксплуатация крупных и приносящих высокие доходы ботнетов. Поэтому они стремятся найти такой вектор заражения ботами и такие способы их использования, которые обеспечивают максимально быстрое и масштабное инфицирование и наибольшую незаконную прибыль. Именно такая изощрённая схема раскрыта в публикуемой статье.

История описываемого расследования началась с того, что специалистам по контентной фильтрации «Лаборатории Касперского» стали поступать обычные на первый взгляд спам-письма. Письма содержали гиперссылки на веб-страницы многочисленных легитимных сайтов. Гиперссылки вели на разные сайты, но в их конце указывался один и тот же путь к файлам на серверах.

Анализ показал, что эти страницы перенаправляли посетителя на сайты, рекламируемые в спам-письмах. Такой приём — отсутствие прямых ссылок на спамерские сайты — часто используется спамерами в целях обхода технологий фильтрации, основанных на сравнении с «чёрными» списками спамерских интернет-адресов.

Аналитики «Лаборатории Касперского» решили найти ответ на вопрос: «Как злоумышленникам удалось взломать такое большое количество легитимных сайтов?». В результате исследования выяснилось, что страницы скомпрометированных легитимных сайтов перенаправляли своих посетителей не только на спамерские, но и хакерские ресурсы. Эти ресурсы содержали эксплойты, использующие уязвимости различных популярных прикладных программ и устанавливающие вредоносный бот Backdoor.Win32.Bredolab.

В статье описываются некоторые особенности бота Backdoor.Win32.Bredolab — его способность уходить от детектирования при попытке исполнения в «песочнице» (Sandbox), а также действия по обеспечению удалённого хакерского администрирования. По команде из центра управления бот загружал вредоносную троянскую программу, крадущую пароли к FTP-клиентам, управляющим содержанием сайтов.

Эксперты «Лаборатории Касперского» продолжили наблюдение за ботом. Через некоторое время Backdoor.Win32.Bredolab возобновил загрузку вредоносных программ, в том числе утилиты для рассылки спама, сетевого червя Koobface и фальшивого антивируса.

Таким образом, инцидент со скомпрометированными сайтами прояснился — перенаправление на спамерские сайты было следствием модификации содержания сайтов, произведённой с использованием паролей, украденных установленным ботом троянцем. Заражённые ботом компьютеры посетителей скомпрометированных сайтов объединялись в ботнет, выполняющий загрузки различного вредоносного ПО и другие команды удалённого центра управления.

Вскрытая схема действий Backdoor.Win32.Bredolab показала, какие технологии и методы используют киберпреступники для создания ботнетов и подготовки базы для рассылки спама и другой корыстной вредоносной деятельности.

С полной версией аналитической статьи «Фабрика наживы» можно ознакомиться на сайте Securelist.com.

«Лаборатория Касперского» не возражает против перепечатки материала с полным указанием авторства (автор, компания, первоисточник). Публикация переработанного текста требует дополнительного согласования с информационной службой компании.