На конференции RSA 2011 года в Сан-Франциско было установлено, что самый
большой и самый продуктивный спам-ботнет в мире на сегодняшний день - это
Rustock, насчитывающий 250 000 ботов, и его размер, а также неослабевающая мощь
неразрывно связаны с постоянно развивающимися технологиями, гласит новое
исследование.
Джой Стюарт, директор по исследованию вредоносных программ в Dell SecureWorks
Counter Threat Unit, говорит, что
Rustock
занимает первую позицию благодаря тому, что его разработчики постоянно
осуществляют развитие кодовой базы. Руткит может скрываться от антивирусных
программ и применять несколько передовых техник для избегания обнаружения.
В отличие от прошлого, увеличение размера не обязательно лучшая стратегия для
спам-ботнетов. Большинство владельцев ботнетов предпочитают содержать сети
меньшего размера, чтобы оставаться вне подозрений и избежать операций по
уничтожению, от которых пострадали Mega-D, Waledac, и другие. "Модель кажется
сокрытой от внимания только лишь по причине того, что никто не проявляет к вам
интереса", - говорит Стюарт. "Данные ботнеты преуспели в этом", - добавил он о
ведущих представителях спам-ботнетов из списка, выпущенного сегодня.
В списке не было новичков – большинство ботнетов существует в течение
нескольких лет. Cutwail является вторым по величине ботнетом с 100 000 ботов, за
ним следуют Lethic - 75 000 ботов; Grum - 65 000 ботов; Festi - 60 000 ботов; и
Maazben - 30 000 ботов. Оставшиеся спам-ботнеты имеют где-то от 5 000 до 30 000
ботов на сегодняшний день, сюда входят Asprox, Fuflo, Waledac, Fivetoon/DMSSpammer,
Xarvester, Bobax, Gheg и Bagle.
В списке этого года заметно отсутствие зловредного ботнета Mega-D, также
известного как Ozdok, который в 2009 году смогли успешно
уничтожить исследователи из
FireEye. Предположительно, владелец ботнета был арестован в прошлом году, и
с того момента о Mega-D ничего не слышно, согласно исследованию Стюарта. "Mega-D
официально прекратил свое существование", - говорит Стюарт. Waledac, который был
центром внимания при
проведении операций по уничтожению в прошлом году, все еще показывает
некоторые признаки жизни.
Bobax/Kraken является примером большого ботнета, который немного утратил
свои объемы, но остается мощным: он составляет лишь десятую часть прежнего
размера, но все еще действует, говорит Стюарт. "Ботнет по-прежнему способен
распространять спам и делать деньги ", - отмечает он.
Пространство спам-ботнетов является в своей основе зрелым рынком, говорит он.
"Мы установили игроков в данной игре, а они определили модель", – отмечает
Стюарт. "Новички не кажутся увлеченными спамом на базе SMTP. Данная экосистема
не растет, но и спам не уходит".
Быть таким большим ботнетом, как Rustock, и не привлекать к себе внимания и
попыток уничтожения, это требует больших усилий. Разработчик Rustock добавил
новые техники в кодовую базу, чтобы поддерживать хорошую работоспособность
ботнета, сюда относится следующее: пробные экземпляры должны ждать 5 дней,
прежде чем приступить к спаму; C&C серверы работают на
основе TOR; для связи
между ботами и C&C серверами используется HTTP, HTTP запросы маскируются под
посты на онлайн-форумах, с зашифрованным контентом; а также маскируются
IP-адреса.
Стюарт из SecureWorks испытал прежде всего разочарование, пытаясь проследить
за Rustock. "Некоторые [техники уклонения] были для меня проблемой", - говорит
он. "Я случайно попал в ловушку и был вынужден написать свой код, чтобы
выбраться из нее. Они знают, что люди вроде меня на страже и наблюдают".
Наиболее популярный механизм распространения для крупнейших спам-ботнетов -
это тактика оплаты за установку и вирусы. Ботнет Festi также проводит
DDoS-атаки, включая одну против сайта русского оператора интернет-платежей по
банковским картам ChronoPay, сообщает Стюарт. "Он не боится раскрыться и нанести
удар", - отметил Стюарт.
"Если ты хочешь зарабатывать на этом, тебе будет достаточно от 20 000 до 30
000 ботов, и люди не будут обращать на тебя внимание", - говорит Стюарт. "Если
ты хочешь стать крупнейшим спаммером в мире, придется приложить намного больше
усилий", чтобы действовать, не привлекая к себе слишком много внимания, заметил
он.
Прошлый список ведущих спам-ботнето в SecureWorks был составлен два года
назад, и этот список выглядел так: Srizbi с 315 000 ботов; Bobax с 185 000
ботов; Rustock с 150 000 ботов; Cutwail с 125 000 ботов; Storm с 85 000 ботов
(только 35 000 из которых рассылали email); Grum с 50 000 ботов; OneWordSub с 40
000 ботов; Ozdok с 35 000 ботов; Nucrypt с 20 000 ботов; Wopla с 20 000 ботов; и
Spamthru с 12 000 ботов.