Исследователи, которые временно
подорвали деятельность
Cutwail/Pushdo в прошлом году, теперь проливают свет на другую сторону
ботнета - с точки зрения ботмастера.
Спамеры, использующие один из крупнейших мировых ботнетов, доводят до цели
лишь треть своих сообщений, но даже так они все же смогли успешно разослать
около 90 миллиардов сообщений со спамом всего за один месяц в прошлом году при
помощи ботнета Cutwail/Pushdo.
При получении редкой возможности взглянуть на происходящие операции внутри
одного из крупнейших мировых спам-ботнетов, группа исследователей из корпорации
LastLine Inc., Калифорнийского университета в Санта-Барбаре и Рурского
университета в Бохуме (Германия), недавно обнаружила 2,35 терабайт
информации, включая миллиарды выбранных мишенью адресов, а также 24 базы данных
с подробными статистическими данными о ботах и спам-операциях. Все это хранилось
на 16 серверах ботнета Cutwail/Pushdo, доступ к которому они смогли заполучить в
прошлом августе.
Торстен Хольц, главный аналитик угроз в LastLine и кандидат компьютерных наук
в Рурском университете в Бохуме, и его коллеги в прошлом году работали над
исследовательским проектом, подразумевающим рассмотрение различных ботнетов,
включая Pushdo, MegaD и Rustock. Они сопоставляли инфицированные IP-адреса с
соответствующими им ботнетами и убрали из сети несколько командных серверов
Pushdo для своего исследования - чем неумышленно прекратили работу большей части
инфраструктуры ботнета.
Но как и многие другие операции по подавлению ботнетов, это подействовало
лишь временно;
Cutwail/Pushdo с того момента был реконструирован и теперь является вторым
по величине ботнетом в мире, согласно данным Джо Стюарта, директора
подразделения исследований вредоносных программ компании Dell SecureWorks .
Cutwail/Pushdo имеет около 100 000 ботов, следуя за крупнейшим в мире ботнетом
Rustock, насчитывающим 250 000 ботов.
"Эта whack-a-mole игра начинает со временем раздражать. Ты уничтожаешь один …
а они получают новый и инфицируют еще большее количество людей", - говорит
Хольц.
Тем временем, Хольц и другие исследователи Бретт Стоун-Гросс, Джанлука
Стринхини и Джованни Вигна смогли собрать по кусочкам некоторую информацию о
самом функционировании ботнета Cutwail/Pushdo. Ботнет-операторы сдают в аренду
ботнет рассылающим спам группировкам для распространения повсюду порнографии,
спама онлайн-аптек, для осуществления фишинга и мошенничества с деньгами и
недвижимостью. Ботнет также используется для распространения вредоносных
программ, таких как банковский троян Zeus, через инфицированные вложенные файлы
или ссылки.
И оказалось, что операторы ботнетов и их клиенты сталкиваются со своими
технологическими трудностями: лишь 30 процентов спама с ботнетов действительно
доставляется к намеченному ящику, обнаружили исследователи. "Это достаточно
большая потеря", - говорит Хольц. "И даже если сообщение получено
соответствующим почтовым сервером, с SpamAssassin и другими средствами
фильтрации большая часть из этих 30 процентов отфильтруется и необязательно
достигнет почты пользователя".
Более половины неудачных случаев рассылки спама связана с недействительным
адресом, 16,9 процентов – с черными списками SMTP, 11,8 процентов - с ошибками
SMTP и 11,3 процентов – с окончанием времени соединения. Около 3,5 процентов
сообщений серверы отмечают как спам.
Так что для того, что бы получить устойчивую прибыль, спаммерам приходится
рассылать большие объемы спама. Ботнет также обеспечивает своих пользователей
некоторыми программами, гарантирующими качество: каждый командный сервер имеет
свой собственный SpamAssassin фильтр. Когда спамер модифицирует свой спам при
помощи бразца, спам тестируется путем прохождения через SpamAssassin, чтобы
посмотреть обнаружит ли его фильтр. Если да, то он перерабатывается до тех пор,
пока не сможет избежать фильтра.
Также отслеживается эффективность каждого бота.
С 30 июля по 25 августа 2010 года записи базы данных Cutwail/Pushdo показали,
что ботнет успешно разослал 87.7 миллиардов сообщений. "Больше всего я был
удивлен огромнейшему количеству сообщений, отправленных одним этим
ботнетом", - говорит Хольц. "Оказалось, что один этот ботнет разослал миллиарды
спам-сообщений".
Исследователи также смогли проникнуть на форум для спамеров и операторов
ботнетов под названием Spamdot.biz, где предоставляется возможность взглянуть на
методы, используемые операторами Cutwail/Pushdo и их клиентами. Операторы
Cutwail сделали приблизительно от 1.7 до 4.2 миллионов долларов с июня 2009
года, написали исследователи в своей недавно опубликованной статье под названием
"
Теневая экономика спама: Координация крупномасштабных спам-кампаний с точки
зрения ботмастера".
Самый большой список адресов, используемый для спама, содержит более 1,5
миллиарда записей и стоит от $10 000 до $20 000, согласно данным исследователей.
Тем временем, около 40 процентов всех ботов Cutwail/Pushdo находятся в Индии,
затем следуют Австралия (9 процентов), Россия (4 процента), Бразилия (3
процента) и Турция (3 процента).
