Bezpečnosť > klepy
Pripravuje sa nový botnet
V krajinách bývalého ZSSR sa opäť posúvajú v IT bezpečnosti trochu vpred. Pokiaľ sa vám zdalo, že botnet malware Conficker, Aurora, NightDragon, Palevo, Zeus/SpyEye alebo ShadyRAT sú nebezpečné, tak musím Vás sklamať. V súčasnosti sa rodí v Rusku projekt, ktorý bude využívať všetky pozitíva daných sietí plus niečo navyše. Prakticky bude minimálne do času, kým sa nenájde dosť mutácií a zhodných identifikátorov pre antivírové programy neviditeľný.
Ide o malware nového typu, ktorý pracuje úplne autonómne. Pôvodne boli s pohľadu správy iba 2 typy, prvý centralizovaný botnet a decentralizovaný (takzvaný P2P) botnet.
Obr. Centralizovaný botnet
Obr. Decentralizovaný botnet
Daný projekt predpokladá, že z ktoréhokoľvek klienta-bota (zombie PC) bude možné spraviť Master (mother ship). Bude mať uchované všetky dostupné údaje o uložení databáz a o tabuľkách cieľov.
Takýmto spôsobom sa predíde zničeniu botnet siete odstavením masteru alebo zablokovaním jeho IP adries. Dáta a databázy budú uložené niekde v cloude a údaje o umiestnení databáz u klienta nebudú "viditeľné" skôr ako to nebude nutné. Malo by k tomu dôjsť pri pripojení infikovaného počítača do internetu s vynechaním 2-5 kontrolných spojení na master. Daný BotNet už teraz v skúšobnej verzií plne pracuje na IPv4 a aj IPv6. Plne bude podporovať mutáciu kódu a polymorfné techniky v relatívne vysokej frekvencií zmien, do niekoľkých hodín. Čím by sa malo aspoň na určitý čas predísť detekcií od výrobcov antivírových riešení. V súčasnosti sa pripravujú 3 varianty infektorov, pre platformu MS (exe), Linux (elf) a Android (apk). Časť botov by mal prevziať z databáz confickeru (v súčasnosti okolo 3,6 milióna zombie PC) a Paleva (cca 80-90 tisíc zombie PC).
V súčasnosti je aktívných botnetov niečo medzi 5500-5700. Mnohé ešte používajú staré spôsoby a nie sú dané infektory veľmi šikovné, na strane druhej sú špecialitky, ktoré sú šikovné ako Confiker. Medzi tie prvé patrí Win32/Penepe a medzi tie šikovné Win32/Mofksys. Taktiež množstvo malwaru stále vsádza na užívateľa a distribuje sa ako antivírus (tkzv. Rouge antivírus) ako napríklad Win32/Katusha.
Osobne budem ešte istý čas dôsledne monitorovať dané fórum ohľadom vývoja tohoto nového systému.
|