Symantec vs botnetul ZeroAccess

[Aerosol]

Botnetul ZeroAccess este una dintre cele mai mari re?ele de acest tip existente, prezent pe aproape 1,9 milioane de computere, indiferent de zi, dup? cum a observat Symantec în luna august, 2013. O caracteristic?-cheie a botnetului ZeroAccess este faptul c? folose?te arhitecturi de comunica?ii peer-to-peer (P2P) ?i command-and-control (C&C), ceea ce îi ofer? un grad înalt de disponibilitate ?i de redundan??. Cum nu exist? un server C&C central, e imposibil s? dezactivezi un set de servere ale atacatorilor pentru a neutraliza botnetul. De fiecare dat? când un computer este infectat cu ZeroAccess, mai întâi apeleaz? la conexiunile existente, pentru a afla informa?ii despre celelalte conexiuni din re?eaua P2P. Astfel, “robo?ii” descoper? leg?turile ?i pot propaga instruc?iuni ?i fi?iere rapid ?i eficient, prin intermediul re?elei. In cadrul botnetului ZeroAccess, exist? o comunicare permanent? între leg?turi între bo?i. Fiecare interactioneaz? cu ceilal?i pentru a schimba listele de leg?turi ?i pentru a verifica actualiz?rile fi?ierelor, ceea ce înseamn? rezisten?? înalt? la orice încercare de neutralizare.

NEUTRALIZAREA BOTNETULUI

În martie 2013, inginerii no?tri au început s? studieze în detaliu mecanismul utilizat de bo?ii ZeroAccess prin care ace?tia comunic? între ei, pentru a vedea cum ar putea fi distrus botnetul. În timpul acestui proces, a fost examinat? o sl?biciune ce oferea o modalitate dificil?, dar nu imposibil?, de neutralizare. Au fost f?cute mai multe teste în laboratoare controlate ?i a fost descoperit? o modalitate practic? de a opri conectarea la botmaster. Între timp, am continuat s? monitoriz?m botnetul, iar pe 29 iunie, am descoperit c? o nou? versiune a ZeroAccess a fost distribuit? prin re?eaua peer-to-peer. Versiunea actualizat? con?inea un num?r de schimb?rii care adresau o serie de defecte de design cruciale, care f?ceau botnetul vulnerabil. Sl?biciunea din mecanismul ZeroAccess P2P a fost discutat? de cercet?tori într-un raport publicat în mai 2013, ceea ce ar fi putut cauza actualizarea ZeroAccess, menit? s? previn? orice încercare de a neutraliza botnetul.

V?zând schimb?rile una câte una ?i având un plan viabil, am avut de ales între : a începe propriile opera?iuni acum sau a risca s? pierdem ini?iativa. Pe 16 iulie, am început s? neutraliz?m infect?rile ZeroAccess. Opera?iunea a avut ca rezultat rapid deconectarea a peste jum?tate de milion de bo?i ?i a avut un efect serios asupra num?rului de bo?i conecta?i la botmaster. In testele noastre, a fost înregistrat un timp mediu de cinci minute de activitate P2P pân? când urm?torul bot a fost neutralizat. Pentru a în?elege impactul acestei m?suri, trebuie s? în?elegem pentru ce e folosit botnetul ZeroAccess.

ZEROACCESS: SERVICIU DE CURIERAT

Având în vedere construc?ia ?i comportamentul, ZeroAccess pare s? fie conceput în primul rând pentru a livra informa?ii computerelor afectate. Într-un botnet ZeroAccess, activitatea productiv?, din punctul de vedere al atacatorului, este realizat? prin desc?rcarea informa?iilor pe computerele compromise, care se reduc la dou? activit??i de baz?, amândou? gândite s? genereze venituri.

Fraudarea click-urilor

Un tip de informa?ie transmis? este troian menit s? fraudeze click-uri. Troianul descarc? reclame online pe computer ?i genereaz? click-uri artificiale pe bannere, ca ?i când ar fi fost date de utilizatori legitimi. Aceste click-uri se transform? în pl??i din sisteme de afiliere sau pay-per-click (PPC).

Bitcoin mining

Moneda virtual? este foarte atractiv? pentru infractorii din spatele calculatoarelor. Modul în care fiecare bitcoin “se na?te” se bazeaz? pe o serie de opera?iuni matematice cunoscute sub numele de “mining” (“minerit”) pe computere. Aceast? activitate are o valoare direct? pentru botmaster ?i vine cu un cost pentru victimele care nu suspecteaz? nimic; am urm?rit îndeaproape economia ?i impactul acestui tip de activitate folosind o serie de computere vechi, disponibile în laboratoarele noastre.

Economia ZeroAccess

Interesa?i de fenomen, am folosit hardware-ul vechi pe care l-am g?sit în birouri pentru a testa ce impact are botnetul ZeroAccess în termeni de utilizare a energiei ?i care este modelul economic al acestei activit??i. Am studiat atât fraudarea click-urilor, cât ?i “mineritul” bitcoin, pentru c? este, probabil, cea mai intensiv? activitate a bo?ilor ?i are o valoare economic? direct? pentru botmaster. Am infectat cu ZeroAccess computerele de testare, în laborator, ?i le-am setat pe “minerit”. De asemenea, am l?sat ?i un computer curat s? ruleze, pentru a avea termen de compara?ie. Am legat computerele la echipamente de m?surat energie, pentru a vedea cât consum?. Rezultatele au fost foarte interesante.

SPECIFICA?II COMPUTER DE TESTARE:

Model: Dell OptiPlex GX620 Pentium D 945 3.4GHz 2GB (Max TDP 95W)

Consum de energie per or?: 136.25 Watts (mining)

Consum de energie per or?: 60.41 Watts (idle)

MHash/S: 1.5

Considerând urm?toarele detalii pentru bitcoin mining:

Rat? de conversie Bitcoin/USD: 131

Factor de dificultate Bitcoin: 86933017.7712

BITCOIN MINING

Cu un astfel de sistem, “mineritul” bitcoin cu un singur computer va fi, întotdeauna, un exerci?iu inutil. Operându-l îns? pentru un an întreg, ar însemna un randament extrem de slab, de doar 0.41 dolari. Dar dac? ai avea la dispozi?ie 1,9 milioane de bo?i, ecua?ia s-ar schimba complet. Mii de dolari zilnic ar putea fi genera?i de botnet. Desigur, nu toate computerele vor fi disponibile în fiecare zi, tot timpul zilei, iar fiecare computer din botnet va avea performan?e diferite, timpi de înc?rcare diferi?i, a?a c? suma este mai degrab? o aproximare. Estimarea noastr? e f?cut? presupunând c? to?i bo?ii ar opera non-stop ?i c?fiecare dintre ei dispune de acelea?i specifica?ii precum cele ale computerelor folosite de noi.

FRAUDAREA CLICK-URILOR

Bo?ii folosi?i pentru opera?iuni de fraudare a click-urilor sunt foarte activi. În testele noastre, fiecare bot a generat un trafic de aproximativ 257 MB pe or?, adic? 6,1 GB pe zi. De asemenea, au generat câte 42 de click-uri false pe or? (adic? 1008 pe zi). De?i fiecare click poate fi pl?tit cu un cent sau doar cu o frac?iune dintr-un cent, la o re?ea de 1,9 calculatoare infectate, atacatorul ar avea un câ?tig poten?ial de zeci de milioane de dolari anual.

Acum, c? ?tim valoarea poten?ial? a acestor activit??i, s? vedem ?i costurile pe care le implic? rularea unui astfel de botnet în termeni de cheltuieli cu electricitatea.

COSTURI CU ENERGIA

Pentru a afla costurile suportate de o victim? care nu suspecteaz? o infectare cu ZeroAccess, am calculat diferen?ele dintre costurile de “minerit” bitcoin versus costurile pe care le implic? func?ionarea unui computer care nu ruleaz? nici un program. Pentru computerele noastre, a reie?it un plus de 1,82KWh în fiecare zi, ceea ce nu e cu mult mai mult fa?? de cât pl?te?te o victim?.

Energie folosit? în bitcoin mining: (136.25/1000)*24 = 3.27 KWh per zi

Energie folosit? de un computer inactiv: (60.41/1000)*24 = 1.45 KWh per zi

Diferen??: 1.82 KWh per zi

Aceste cifre sunt ni?te indicatori al necesarului de energie adi?ional? pentru bitcoin mining pe un singur computer infectat cu ZeroAccess. Acum, putem extrapola aceste cifre la un num?r de 1,9 milioane de bo?i ?i putem vedea care este impactul/costul total al întregului botnet.

Dac? fiecare KWh de electricitate cost? $0.162, atunci ar costa $0.29 pentru a “mina” cu un singur bot timp de 24 de ore. Înmul?ind cu 1,9 milioane de bo?i, vedem o utilizare de energie de 3,458,000 KWh (3,458 MWh, destul? energie pentru peste 111,000 case în fiecare zi.) Aceast cantitate de energie este considerabil mai mare decât produc?ia cele mai mari centrale din California, Moss Landing, care poate produce 2,484 MW ?i care ar aduce ?i o factur? echivalent? de 560.887 dolari pe zi. În ciuda costurilor, toat? aceast? energie ar crea bitcoins în valoare de doar 2.165 dolari zilnic! Cu astfel de sume, nu ar fi deloc economic s? te ocupi de bitcoin mining cu o astfel de confirgura?ie, dac? ar trebui s? pl?te?ti singur. Dar dac? bitcoin este “extras” pe seama altcuiva, atunci se schimb? complet imaginea ?i devine foarte atractiv.

Oprirea unui botnet P2P botnets e grea, dar nu imposibil?

Ce ne-a ar?tat acest exerci?iu este c?, în ciuda arhitecturii P2P elastice ?i a botnetului ZeroAccess, am putut neutraliza o mare parte a bo?ilor. Asta înseamn? c? ace?ti bo?i nu vor mai putea primi comenzi de la botmaster ?i sunt, efectiv, indisponibili re?elei, nemaiputând s? r?spândeasc? comenzi, s? se actualizeze sau s? ajute noile scheme de generare de venituri.

Între timp, Symantec a lucrat împreun? cu furnizor de internet ?i echipe de r?spuns în caz de urgen?e electronice din toat? lumea pentru a partaja informa?iile ?i a ajuta s? cure?e computerele infectate.

Am creat ?i un infografic ce sumarizeaz? datele-cheie ?i cifrele despre troianul ZeroAccess.

Sursa: Symantec: luptând cu botnetul ZeroAccess - Securitate IT