Festiруткіт і ботнет, створений на його базі. Працює під операційними системами сімейства Windows. Перший раз Festi потрапив у поле зору компаній, що займаються розробкою і продажем антивірусних програм, восени 2009 року[1][2]. За оцінками того часу ботнет включав в себе приблизно 25.000 заражених машин і розсилав приблизно 2.5 мільярди листів кожен день[3][4][5]. Найбільшу активність Festi виявляв у 2011-2012 роках[6][7]. Більш свіжі оцінки, датовані серпнем 2012 року, відображають той факт, що ботнет слав спам з 250.000 унікальних IP-адрес, що становить чверть від мільйона адрес, з яких здійснюється розсилка усього спаму у світі[8]. Основна функціональність ботнету Festi — це розсилка спаму і здійснення атак типу «розподілена відмова в обслуговуванні»[9].

Способи розповсюдженняРедагувати

Поширення ведеться з використанням схеми PPI[10](Pay-Per-Install). Для запобігання виявлення антивірусами завантажувач поширюється в зашифрованому вигляді, що ускладнює сигнатурний пошук.

АрхітектураРедагувати

Всі дані про архітектуру ботнету почерпнуто із досліджень антивірусної компанії ESET[11][12]. Завантажувач завантажує і встановлює бота, який являє собою драйвер режиму ядра, який додає себе в список драйверів, які запускаються разом з операційною системою. На жорсткому диску зберігається лише частина бота, що відповідає за зв'язок з командним центром і завантаження модулів. Після старту бот періодично звертається до командного центру для отримання конфігурації, завантаження модулів і завдань, необхідних для виконання.

МодуліРедагувати

З досліджень, проведених фахівцями антивірусної компанії ESET, відомо, що Festi має як мінімум два модуля. Один з них призначається для розсилки спаму (BotSpam.dll), інший для здійснення атак типу «розподілена відмова в обслуговуванні» (BotDoS.dll). Модуль для здійснення атак типу «розподілена відмова в обслуговуванні» підтримує наступні види атак, а саме: TCP-флуд, UDP-флуд, DNS-флуд, HTTP(s)-флуд, а також флуд пакетами з випадковим числом в номері використовуваного протоколу.

Експерт «Лабораторії Касперського», який досліджував ботнет, зробив висновок про те, що модулів більше, але не всі з них використовуються. Їх список включає в себе модуль для реалізації socks-сервера (BotSocks.dll) з протоколами TCP і UDP, модуль для віддаленого перегляду і управління комп'ютером користувача (BotRemote.dll), модуль що реалізує пошук по диску віддаленого комп'ютера і локальної мережі (BotSearch.dll), до якої віддалений комп'ютер підключений, модулі-грабери для всіх відомих на даний момент браузерів (BotGrabber.dll).

Модулі ніколи не зберігаються на жорсткому диску, що робить практично неможливим їх виявлення.

Мережева взаємодіяРедагувати

Бот використовує клієнт-серверну технологію і для функціонування реалізовує власний протокол мережної взаємодії з командним центром, який використовується для отримання конфігурації ботнету, завантаження модулів, а також для отримання завдань від командного центру та оповіщення командного центру про їх виконання. Дані шифруються, що перешкоджає визначенню вмісту мережевого трафіку.

Захист від виявлення і налагодженняРедагувати

При установці бот відключає системний брандмауер, ховає свій драйвер режиму ядра і ключі системного реєстру, необхідні для завантаження і роботи, захищає себе і ключі реєстру від видалення. Робота з мережею відбувається на низькому рівні, що дозволяє безперешкодно обходити мережеві фільтри антивірусного програмного забезпечення. Ведеться спостереження за використанням мережевих фільтрів, щоб перешкодити їх установці. Бот перевіряє, запущений він під віртуальною машиною, у разі позитивного результату перевірки, припиняє свою діяльність. Festi періодично перевіряє наявність відладчика і вміє знімати точки зупину.

Об'єктно-орієнтований підхід до розробкиРедагувати

Festi створений з використанням об'єктно-орієнтованої технології розробки програмного забезпечення, що сильно ускладнює дослідження методом зворотної розробки і робить бота легко переносимим на інші операційні системи.

УправлінняРедагувати

Все управління ботнетом Festi реалізовано за допомогою веб-інтерфейсу і здійснюється через браузер.

Хто стоїть за FestiРедагувати

За інформацією фахівців антивірусної компанії ESET, американського журналіста і блогера, фахівця в галузі інформаційної безпеки Брайана Кребса[13], за інформацією американського журналіста газети The New York Times Ендрю Крамера[14], а також з джерел близьких до російських спецслужб архітектор і розробник ботнету Festi — російський хакер Ігор Артимович.

ВисновокРедагувати

У висновку можна сказати, що ботнет Festi був одним з найпотужніших ботнетів для розсилки спаму і проведення атак типу «розподілена відмова в обслуговуванні». Принципи, за якими побудований ботнет Festi, максимально збільшують час життя бота в системі, перешкоджають виявленню бота антивірусним програмним забезпеченням і мережевими фільтрами. Механізм модулів дозволяє розширювати функціональність ботнету в будь-яку сторону за рахунок створення та завантаження необхідних модулів для досягнення різних цілей, а об'єктно-орієнтований підхід до розробки ускладнює дослідження ботнету з використанням способів зворотної розробки і дає можливість перенесення бота на інші операційні системи за рахунок чіткого розмежування специфічної для конкретної операційної системи функціональності та іншої логіки бота. Потужні системи протидії виявленню і налагодження роблять бота Festi практично невидимим і невразливим. Система прив'язок і використання резервних командних центрів дає можливість відновлення контролю над ботнетом після зміни командного центру. Festi є нетиповим примірником шкідливого програмного забезпечення, так як автори вкрай серйозно підійшли до процесу його розробки. Можна сміливо сказати, що бот Festi — шедевр серед шкідливого програмного забезпечення[15].

Див. такожРедагувати

ПриміткиРедагувати

  1. Lewis, Daren (November 5, 2009). Festi Botnet spins up to become one of the main spamming botnets. Symantec Connect. 
  2. Kaplan, Dan (November 6, 2009). Festi botnet appears. SC Magazine. 
  3. Jackson Higgins, Kelly (November 06, 2009). New Spamming Botnet On The Rise - Dark Reading. darkreading. 
  4. Wattanajantra, Asavin (November 6, 2009). ‘Festi’ growing to become spambot heavyweight. ITPRO. 
  5. Botnet Festi Rising Tremendously. SPAMfighter. November 18, 2009. 
  6. Kirk, Jeremy (August 16, 2012). Spamhaus Declares Grum Botnet Dead, but Festi Surges. PC World. 
  7. Kirk, Jeremy (August 17, 2012). Spamhaus declares Grum botnet dead, but Festi surges. PC Advisor. 
  8. Saarinen, Juha (Aug 20, 2012). Festi botnet cranks up spam volumes. ITNews. 
  9. Festi botnet helps launch denial-of-service ‘DDoS’ attack. Stop Hackers. June 13, 2012. 
  10. Matrosov, Aleksandr (May 11, 2012). King of Spam: Festi botnet analysis. ESET. 
  11. Rodionov, Eugene (2011). Festi botnet analysis and investigation. ESET. Архів оригіналу за 2013-12-15. 
  12. Matrosov, Aleksandr (November 12-14, 2012). Festi Botnet Analysis & Investigation. AVAR 2012. Архів оригіналу за 2013-12-15. 
  13. Krebs, Brian (June 12, 2012). Who Is the ‘Festi’ Botmaster?. Krebs On Security. 
  14. Kramer, Andrew (September 2, 2013). Online Attack Leads to Peek Into Spam Den. The New York Times. 
  15. Festi: malicious and incorporeal. Xakep Magazine. September, 2012. 

ПосиланняРедагувати