29 июня 2015

Спроси эксперта: Виталий Камлюк отвечает на вопросы о DDoS и ботнетах

Новости Спецпроекты

Ведущий аналитик по безопасности «Лаборатории Касперского» Виталий Камлюк уже более 10 лет работает в этой сфере. Специализация Виталия — реверс-инжиниринг вредоносного ПО (получение исходного кода программы из готового продукта), компьютерная криминалистика и расследования киберпреступлений. Сейчас Виталий живет в Сингапуре и сотрудничает с лабораторией компьютерной криминалистики в Интерполе. Там он анализирует вредоносное ПО и помогает в расследовании преступлений.

Виталий Камлюк — один из тех вирус-хантеров «Лаборатории Касперского», которые знают про киберпреступность всё. Временно Виталий работает в Сингапуре, а точнее в Интерполе, помогая Международной организации уголовной полиции выводить из строя ботнеты, обезвреживать дидосеров, кардеров и прочую нечисть. Мы уговорили его выделить немного времени на ваши вопросы. Задавайте их в комментариях, мы передадим их Виталию, а через несколько дней опубликуем ответы. #эксперт

A photo posted by Kaspersky Lab Russia (@kasperskylabrus) on

«Лаборатория Касперского» предложила читателям задать Виталию вопросы. На самом деле их оказалось так много, что мы были вынуждены разбить серию вопросов и ответов на несколько частей. В этом выпуске Виталий отвечает на вопросы, связанные с DDoS-атаками и ботнетами.

Как вы думаете, сколько существует больших ботнетов — тех, которые включают более 50 тыс. зараженных ПК по всему миру?

Мне кажется, что их менее 20, но это чистой воды предположение, так как обычно мы узнаем о настоящем размере ботнета только после поимки преступников. Пока злоумышленники заинтересованы в заражении максимально возможного числа устройств, они могут не увеличивать ботнеты более определенных размеров, чтобы не попасть на радары киберполиции.

Существуют ли особо сложные ботнеты, которые состоят одновременно из смартфонов, ПК и Маков?

Иногда случается, что в ботнет могут одновременно входить инфицированные ПК и смартфоны. Хороший пример — Zeus-in-the-Mobile и Zeus для ПК. Существуют и ботнеты для Маков, но, по нашему опыту, обычно они работают обособленно.

Как вы находите ботнеты, с чего начинаете? Каковы последние тренды в деле обнаружения вредоносного ПО и ботнетов?

Вначале обнаруживают подозрительный процесс или же файл на жестком диске. Следующий шаг — анализ объекта и определение списка командных серверов (C&C — Command and Control). После необходимо разобраться с протоколами и периодически запрашивать обновления у командного сервера.

Одним из последних трендов в этом деле является поиск надежных механизмов управления, к примеру основанных на P2P-соединении или через Tor. Если вы хотите узнать подробности, в Интернете много статей и технической документации по этому вопросу. Например, вы легко найдете необходимую информацию по запросу «Tor Botnet».

Что нужно сделать, чтобы деактивировать ботнет?

Лучший способ — это арестовать его владельца. Еще лучше — поймать сразу распространителя и разработчика ПО бота, а также поставщиков эксплойтов и вспомогательных компонентов вредоносного кода.

Из каких регионов происходят ботнеты? Какой язык программирования используется для их создания? Как мы можем убедиться, что наша домашняя система не заражена? Есть ли вторая линия защиты на случай непредвиденных обстоятельств, если кибератаку не удалось нейтрализовать?

Ботнеты создают везде, и язык программирования — это всегда лишь вопрос личных предпочтений киберпреступников. Чтобы убедиться, что ваша система чиста, просканируйте ее с помощью антивируса. Потом проверьте журнал записей передачи данных по сети: вам следует убедиться, что в нем нет никаких незнакомых или неожиданных соединений.

К сожалению, текущая архитектура ПК систем не поддерживает возможность создания второй линии обороны. За безопасность своего ПК отвечает каждый пользователь. Удаленная нейтрализация угрозы считается вторжением в личную сеть и в большинстве случаев является нелегальной.

Если ваше устройство скомпрометировали, вы не можете на него полностью полагаться до полной переустановки системы, что лишь еще больше усложняет ситуацию. Многие не переживают из-за заражения своих ПК до тех пор, пока не начинают терять деньги.

Как часто современные ботнеты контролируются с помощью IRC? Если лишить владельца ботнета контроля над ним, будет ли этого достаточно для его уничтожения?

У киберпреступников разные способы контролировать ботнеты. IRC — это всего лишь один из многих протоколов применения, со своими достоинствами и недостатками. Я бы сказал, что во многом использование IRC уже устарело, сейчас большинство ботнетов строятся с помощью HTTP.

Чтобы точно уничтожить ботнет, вам нужно найти и арестовать владельца. И это как раз то, чем мы занимаемся вместе с Интерполом. Лишив преступника контроля над ботнетом, вы не решите проблему надолго, так как большинство плохих парней хорошо готовы к этому виду противодействия.

Какие инструменты и методы используются после обнаружения DDoS-атаки, учитывая сценарии на уровне потребителя или провайдера, а также регионального, национального или даже транснационального провайдера?

Наиболее эффективным инструментом во всех случаях станет эффективная фильтрация. Для ее внедрения вам придется вначале исследовать саму угрозу. Вот почему так важно обнаружить бот, ответственный за проведение DDoS-атаки, и внимательно проанализировать его. Наиболее радикальным решением будет арестовать весь контрольный механизм ботнета и остановить его работу изнутри, но это совсем другая история.

Как можно нивелировать вред от атаки с лавинообразным умножением данных?

Распределить атакуемые объекты географически и настроить многоуровневую фильтрацию.

Как понять, что мое устройство является частью ботнета или Bitcoin-фермы?

Проверьте систему на наличие вредоносного ПО, ведь именно оно генерирует биткойны без вашего согласия или делает ваше устройство частью ботнета. Самые эффективные способы проверить систему на наличие вредоносного ПО включают следующие меры:

  1. Сканирование устройства надежным антивирусом может сэкономить много времени, но не думайте, что автоматическая проверка дает 100% уверенности. Так что продолжайте искать.
  2. Проверьте список процессов вашей системы на наличие подозрительных или незваных гостей: мне кажется, пользователи должны знать все процессы, запущенные на вашем устройстве.
  3. Проверьте список автоматически запускаемых программ. Для этого можно использовать бесплатное Windows-приложение под названием Sysinternals Autoruns.
  4. Наконец, тщательная проверка включает подключение вашего ПК к другому устройству с выходом в Интернет и запись всего сетевого трафика. Эта мера позволит обнаружить подозрительную деятельность, которая не видна инфицированной системе.

В ближайшие пару дней мы опубликуем новые ответы Виталия. Будьте на связи!