Компания Microsoft нацелилась также на выявление лиц, причастных к разработке и распространению ZeuS и подобных ему троянцев, таких как SpyEye и Ice-IX (последний создан на основе украденных и опубликованных исходников ZeuS).
В середине марта Microsoft совместно с ассоциацией электронных платежей NACHA и некоммерческой организацией FS-ISAC, представляющей интересы американских финансистов, провела еще одну атаку на ботоводов, которая получила название «операция b71». С разрешения суда был захвачен ряд серверов — центров управления самых активных и многочисленных ботнетов, построенных на базе ZeuS.
Атака на ZeuS и его хозяев
В связи с быстрым выпуском хозяевами ботнета очередной новой версии бота некоторые исследователи скептически высказались относительно эффективности нейтрализации ботнетов методом sinkhole. Несмотря на это, мы все же склонны думать, что заметно усложняем жизнь ботоводам, вынуждая их изыскивать средства на распространение нового бота и заражение новых машин. Кроме того, пока архитектура и протокол новых версий бота не претерпевает существенных изменений, борьбу с ботнетом можно успешно продолжать. Окончательную же победу над ботнетом можно ожидать только после ареста тех, кто за ним стоит.
Новая, третья версия бота — Kelihos.C — была замечена нами спустя несколько дней после начала sinkhole-операции. Судя по всему, ботмастеры были готовы к нейтрализации их ботнета в любой момент и приступили к «плану Б». В Kelihos.C так же, как и в Kelihos.B, было замечено изменение ключей RSA, используемых для шифрования некоторых структур .
Операции по перехвату управления ботсетями, как правило, приводят к тому, что ботмастеры пытаются возобновить работу ботнета, выпуская новую версию бота и начав кампанию по вовлечению новых машин в ботнет. Именно по такому сценарию развивались события в сентябре — после нейтрализации первого ботнета Hlux/Kelihos. Так случилось и в марте.
21 марта мы начали ввод в ботсеть специального sinkhole-маршрутизатора. Мы стремились к тому, чтобы зараженные машины стали общаться только с выделенным нами маршрутизатором. Через неделю после начала операции с нашим sinkhole-маршрутизатором взаимодействовали более 116 000 ботов. Таким образом мы смогли «отобрать» управление ботами у хозяев ботнета:
«Лаборатория Касперского» совместно с CrowdStrike Intelligence Team, Dell SecureWorks и Honeynet Project обезвредила второй . Этот ботнет исследователи называют Kelihos.B, подчеркивая, что при его создании был использован второй модифицированный вариант оригинального бота.
Отключение второго ботнета Hlux/Kelihos
Борьба с киберкриминалом
Более подробно о нашей статистике инцидентов, связанных с Duqu, и известным нам модификациям троянца можно узнать в .
Новый драйвер Duqu совпадает по функциональности с предыдущими известными нам версиями. Отличия в коде незначительные, но свидетельствуют о проделанной «работе над ошибками», направленной на противодействие детектированию файла. Основной модуль Duqu, связанный с этим драйвером, обнаружен не был.
Когда в проект инвестировано столько средств, сколько их было инвестировано в разработку Duqu и Stuxnet, невозможно просто взять и закрыть проект. В марте в «дикой природе» был обнаружен новый драйвер, практически аналогичный тем, которые ранее использовались в Duqu. Однако известные ранее драйверы были созданы 3 ноября 2010 и 17 октября 2011 года, а новый драйвер — 23 февраля 2012 года. Это означает, что после четырех месяцев перерыва авторы Duqu вновь вернулись к работе.
Фреймворк Duqu был написан на C и скомпилирован с помощью MSVC 2008 с опциями "/O1" и "/Ob1". При разработке, скорее всего, использовалось собственное объектно-ориентированное расширение языка С, обычно называемое «ОО С». Событийно-ориентированная архитектура была разработана как часть Фреймворка или в рамках расширения ОО С. Код общения с C&C мог быть позаимствован из другого программного проекта и затем адаптирован к задачам проекта Duqu. Мы полагаем, что вредоносная программа создавалась профессионалами, использующими наработки программистов «старой школы». Подход, который использовали авторы Duqu, обычно встречается в серьезных программных проектах, и почти никогда — во вредоносных программах. Это ещё раз указывает на то, что Duqu, как и Stuxnet, — уникальная разработка, выделяющаяся на фоне всех вредоносных программ.
Уже шесть месяцев продолжается наше расследование истории троянской программы Duqu. В марте нам удалось установить, на каком именно языке был написан код Фреймворка троянца. Это стало возможным благодаря помощи международного комьюнити, приславшего нам несколько сотен версий и предположений.
Обзор вирусной активности, март 2012
→ → →Обзор вирусной активности, март 2012
Уровень опасности: 1
в описаниях объектов
Обзор вирусной активности, март 2012 - Securelist
Комментариев нет:
Отправить комментарий