Pripravuje sa nový botnet

V krajinách bývalého ZSSR sa opäť posúvajú v IT bezpečnosti trochu vpred.

Pokiaľ sa vám zdalo, že botnet malware Conficker, Aurora, NightDragon, Palevo, Zeus/SpyEye alebo ShadyRAT sú nebezpečné, tak musím Vás sklamať. V súčasnosti sa rodí v Rusku projekt, ktorý bude využívať všetky pozitíva daných sietí plus niečo navyše. Prakticky bude minimálne do času, kým sa nenájde dosť mutácií a zhodných identifikátorov pre antivírové programy neviditeľný.

Ide o malware nového typu, ktorý pracuje úplne autonómne.
Pôvodne boli s pohľadu správy iba 2 typy, prvý centralizovaný botnet a decentralizovaný (takzvaný P2P) botnet.

Obr. Centralizovaný botnet

Obr. Decentralizovaný botnet

Daný projekt predpokladá, že z ktoréhokoľvek klienta-bota (zombie PC) bude možné spraviť Master (mother ship). Bude mať uchované všetky dostupné údaje o uložení databáz a o tabuľkách cieľov.

Takýmto spôsobom sa predíde zničeniu botnet siete odstavením masteru alebo zablokovaním jeho IP adries.
Dáta a databázy budú uložené niekde v cloude a údaje o umiestnení databáz u klienta nebudú "viditeľné" skôr ako to nebude nutné.
Malo by k tomu dôjsť pri pripojení infikovaného počítača do internetu s vynechaním 2-5 kontrolných spojení na master. Daný BotNet už teraz v skúšobnej verzií plne pracuje na IPv4 a aj IPv6.
Plne bude podporovať mutáciu kódu a polymorfné techniky v relatívne vysokej frekvencií zmien, do niekoľkých hodín. Čím by sa malo aspoň na určitý čas predísť detekcií od výrobcov antivírových riešení.
V súčasnosti sa pripravujú 3 varianty infektorov, pre platformu MS (exe), Linux (elf) a Android (apk).
Časť botov by mal prevziať z databáz confickeru (v súčasnosti okolo 3,6 milióna zombie PC) a Paleva (cca 80-90 tisíc zombie PC).

V súčasnosti je aktívných botnetov niečo medzi 5500-5700. Mnohé ešte používajú staré spôsoby a nie sú dané infektory veľmi šikovné, na strane druhej sú špecialitky, ktoré sú šikovné ako Confiker. Medzi tie prvé patrí Win32/Penepe a medzi tie šikovné Win32/Mofksys.
Taktiež množstvo malwaru stále vsádza na užívateľa a distribuje sa ako antivírus (tkzv. Rouge antivírus) ako napríklad Win32/Katusha.

Osobne budem ešte istý čas dôsledne monitorovať dané fórum ohľadom vývoja tohoto nového systému.