Festi

Festi — руткіт і ботнет, створений на його базі. Працює під операційними системами сімейства Windows. Перший раз Festi потрапив у поле зору компаній, що займаються розробкою і продажем антивірусних програм, восени 2009 року^[1][2]. За оцінками того часу ботнет включав в себе приблизно 25.000 заражених машин і розсилав приблизно 2.5 мільярди листів кожен день^[3][4][5]. Найбільшу активність Festi виявляв у 2011-2012 роках^[6][7]. Більш свіжі оцінки, датовані серпнем 2012 року, відображають той факт, що ботнет слав спам з 250.000 унікальних IP-адрес, що становить чверть від мільйона адрес, з яких здійснюється розсилка усього спаму у світі^[8]. Основна функціональність ботнету Festi — це розсилка спаму і здійснення атак типу «розподілена відмова в обслуговуванні»^[9].

Способи розповсюдження

Поширення ведеться з використанням схеми PPI^[10](Pay-Per-Install). Для запобігання виявлення антивірусами завантажувач поширюється в зашифрованому вигляді, що ускладнює сигнатурний пошук.

Архітектура

Всі дані про архітектуру ботнету почерпнуто із досліджень антивірусної компанії ESET^[11][12]. Завантажувач завантажує і встановлює бота, який являє собою драйвер режиму ядра, який додає себе в список драйверів, які запускаються разом з операційною системою. На жорсткому диску зберігається лише частина бота, що відповідає за зв'язок з командним центром і завантаження модулів. Після старту бот періодично звертається до командного центру для отримання конфігурації, завантаження модулів і завдань, необхідних для виконання.

Модулі

З досліджень, проведених фахівцями антивірусної компанії ESET, відомо, що Festi має як мінімум два модуля. Один з них призначається для розсилки спаму (BotSpam.dll), інший для здійснення атак типу «розподілена відмова в обслуговуванні» (BotDoS.dll). Модуль для здійснення атак типу «розподілена відмова в обслуговуванні» підтримує наступні види атак, а саме: TCP-флуд, UDP-флуд, DNS-флуд, HTTP(s)-флуд, а також флуд пакетами з випадковим числом в номері використовуваного протоколу.

Експерт «Лабораторії Касперського», який досліджував ботнет, зробив висновок про те, що модулів більше, але не всі з них використовуються. Їх список включає в себе модуль для реалізації socks-сервера (BotSocks.dll) з протоколами TCP і UDP, модуль для віддаленого перегляду і управління комп'ютером користувача (BotRemote.dll), модуль що реалізує пошук по диску віддаленого комп'ютера і локальної мережі (BotSearch.dll), до якої віддалений комп'ютер підключений, модулі-грабери для всіх відомих на даний момент браузерів (BotGrabber.dll).

Модулі ніколи не зберігаються на жорсткому диску, що робить практично неможливим їх виявлення.

Мережева взаємодія

Бот використовує клієнт-серверну технологію і для функціонування реалізовує власний протокол мережної взаємодії з командним центром, який використовується для отримання конфігурації ботнету, завантаження модулів, а також для отримання завдань від командного центру та оповіщення командного центру про їх виконання. Дані шифруються, що перешкоджає визначенню вмісту мережевого трафіку.

Захист від виявлення і налагодження

При установці бот відключає системний брандмауер, ховає свій драйвер режиму ядра і ключі системного реєстру, необхідні для завантаження і роботи, захищає себе і ключі реєстру від видалення. Робота з мережею відбувається на низькому рівні, що дозволяє безперешкодно обходити мережеві фільтри антивірусного програмного забезпечення. Ведеться спостереження за використанням мережевих фільтрів, щоб перешкодити їх установці. Бот перевіряє, запущений він під віртуальною машиною, у разі позитивного результату перевірки, припиняє свою діяльність. Festi періодично перевіряє наявність відладчика і вміє знімати точки зупину.

Об'єктно-орієнтований підхід до розробки

Festi створений з використанням об'єктно-орієнтованої технології розробки програмного забезпечення, що сильно ускладнює дослідження методом зворотної розробки і робить бота легко переносимим на інші операційні системи.

Управління

Все управління ботнетом Festi реалізовано за допомогою вебінтерфейсу і здійснюється через браузер.

Хто стоїть за Festi

За інформацією фахівців антивірусної компанії ESET, американського журналіста і блогера, фахівця в галузі інформаційної безпеки Брайана Кребса^[en][13], за інформацією американського журналіста газети The New York Times Ендрю Крамера^[14], а також з джерел близьких до російських спецслужб архітектор і розробник ботнету Festi — російський хакер Ігор Артимович.

Висновок

У висновку можна сказати, що ботнет Festi був одним з найпотужніших ботнетів для розсилки спаму і проведення атак типу «розподілена відмова в обслуговуванні». Принципи, за якими побудований ботнет Festi, максимально збільшують час життя бота в системі, перешкоджають виявленню бота антивірусним програмним забезпеченням і мережевими фільтрами. Механізм модулів дозволяє розширювати функціональність ботнету в будь-яку сторону за рахунок створення та завантаження необхідних модулів для досягнення різних цілей, а об'єктно-орієнтований підхід до розробки ускладнює дослідження ботнету з використанням способів зворотної розробки і дає можливість перенесення бота на інші операційні системи за рахунок чіткого розмежування специфічної для конкретної операційної системи функціональності та іншої логіки бота. Потужні системи протидії виявленню і налагодження роблять бота Festi практично невидимим і невразливим. Система прив'язок і використання резервних командних центрів дає можливість відновлення контролю над ботнетом після зміни командного центру. Festi є нетиповим примірником шкідливого програмного забезпечення, так як автори вкрай серйозно підійшли до процесу його розробки. Можна сміливо сказати, що бот Festi — шедевр серед шкідливого програмного забезпечення^[15].

Див. також

• Ботнети
• Шкідливе програмне забезпечення
• Кібервійна

Примітки

1. Lewis, Daren (5 листопада 2009). Festi Botnet spins up to become one of the main spamming botnets. Symantec Connect. Архів оригіналу за 18 квітня 2018. Процитовано 17 квітня 2018.
2. Kaplan, Dan (6 листопада 2009). Festi botnet appears. SC Magazine. Архів оригіналу за 4 березня 2016. Процитовано 17 квітня 2018.
3. Jackson Higgins, Kelly (06 листопада 2009). New Spamming Botnet On The Rise - Dark Reading. darkreading. Архів оригіналу за 7 серпня 2012. Процитовано 17 квітня 2018.
4. Wattanajantra, Asavin (6 листопада 2009). ‘Festi’ growing to become spambot heavyweight. ITPRO. Архів оригіналу за 18 квітня 2018. Процитовано 17 квітня 2018.
5. Botnet Festi Rising Tremendously. SPAMfighter. 18 листопада 2009. Архів оригіналу за 21 грудня 2014. Процитовано 17 квітня 2018.
6. Kirk, Jeremy (16 серпня 2012). Spamhaus Declares Grum Botnet Dead, but Festi Surges. PC World. Архів оригіналу за 1 липня 2015. Процитовано 17 квітня 2018.
7. Kirk, Jeremy (17 серпня 2012). Spamhaus declares Grum botnet dead, but Festi surges. PC Advisor. Архів оригіналу за 15 грудня 2013. Процитовано 17 квітня 2018.
8. Saarinen, Juha (20 серпня 2012). Festi botnet cranks up spam volumes. ITNews. Архів оригіналу за 30 червня 2015. Процитовано 17 квітня 2018.
9. Festi botnet helps launch denial-of-service ‘DDoS’ attack. Stop Hackers. 13 червня 2012. Архів оригіналу за 15 грудня 2013. Процитовано 17 квітня 2018.
10. Matrosov, Aleksandr (11 травня 2012). King of Spam: Festi botnet analysis. ESET. Архів оригіналу за 18 квітня 2018. Процитовано 17 квітня 2018.
11. Rodionov, Eugene (2011). Festi botnet analysis and investigation (PDF). ESET. Архів оригіналу (PDF) за 15 грудня 2013.
12. Matrosov, Aleksandr (November 12-14, 2012). Festi Botnet Analysis & Investigation (PDF). AVAR 2012. Архів оригіналу (PDF) за 15 грудня 2013.
13. Krebs, Brian (12 червня 2012). Who Is the ‘Festi’ Botmaster?. Krebs On Security. Архів оригіналу за 18 квітня 2018. Процитовано 17 квітня 2018.
14. Kramer, Andrew (2 вересня 2013). Online Attack Leads to Peek Into Spam Den. The New York Times. Архів оригіналу за 18 квітня 2018. Процитовано 17 квітня 2018.
15. Festi: malicious and incorporeal. Xakep Magazine. September, 2012. Архів оригіналу за 15 грудня 2013. Процитовано 17 квітня 2018.

Посилання

• Top 10 botnets and their impact, December 9, 2009, Top 10 botnets and their impact, Help Net Security
• The top 10 'most wanted' spam-spewing botnets Rustock, Mega-D, Festi, Pushdo among worst botnet offenders, July 15, 2010, Ellen Messmer, Network World
• При DDoS-атаці на Аерофлот використовували ботнет Festi, 18 липня 2012, SecureLab [Архівовано 18 квітня 2018 у Wayback Machine.]
• The New Era of Botnets, White Paper
• Festi botnet takes over following Grum shutdown, August 17, 2012, ComputerWorld UK [Архівовано 15 грудня 2013 у Wayback Machine.]
• Spam botnets: The fall of Grum and the rise of Festi, August 16, 2012, Thomas Morrison, SPAMHAUS [Архівовано 18 квітня 2018 у Wayback Machine.]
• Spamhaus: Grum Dead, Festi Alive and Well August 22, 2012, Malcolm James, All Spammed Up [Архівовано 18 квітня 2018 у Wayback Machine.]
• The Global Botnet Threat, November 14, 2012, MacAfee