Złośliwe programy: bootkit na celowniku

Przeczytaj także: Panda: nadchodzi szkodliwy Icepack

Migrujące centrum kontroli

Wszystkie technologie, jakie wykrył Kaspersky Lab podczas analizowania mechanizmu przenikania, w opinii ekspertów wyglądają interesująco; niektóre są oryginalne (na przykład podmienianie odsyłaczy, zaciemnianie exploitów w locie dla określonego systemu), ogólnie jednak żadna z nich nie jest unikatowa. Z podobnymi technologiami specjaliści spotkali się już wcześniej, jednak przed sierpniem 2008 roku nie zdarzyło się, aby wszystkie z nich zostały wykorzystane w ramach jednego ataku.
Prawdziwa niespodzianka czekała na ekspertów z Kaspersky Lab dopiero wtedy, gdy przeanalizowali działanie bota: centrum kontroli bota (C&C) nieustannie przesuwało się z jednej domeny do innej! Na podstawie obserwacji w ciągu jednego dnia centrum kontroli przesuwało się czasem 2 do 3 razy. Na przykład rano działało w domenie aykjfgves.com, w porze lunchu przeniosło się na dmiafgves.com, by wieczorem zajmować gfdpves.com. W rezultacie, zainfekowane komputery, które tworzyły część botnetu, aby móc się połączyć, zmuszone były nieustannie szukać aktywnego centrum kontroli.

Eksperci zwracają uwagę, że wykrycie takich botnetów jest bardzo trudne, a nawet gdy zostaną już wykryte, trudno je rozbić. Szkodliwy użytkownik może w każdej chwili przenieść centrum kontroli na dowolną z dziesiątek, lub nawet setek, specjalnie przygotowanych domen. Nawet gdy centrum kontroli zostanie zidentyfikowane, w ciągu kilku godzin zostanie przeniesione na inną domenę. A wtedy, aby je znaleźć, trzeba będzie analizować pakiety sieciowe wysyłane przez boty szukające swojego nowego domu.

Kaspersky Lab nie ma wątpliwości, że metoda ta ma na celu zarówno zwalczanie konkurencji, która może próbować ukraść botnet, jak również utrudnianie działania firm antywirusowych i organów ściągania.

Generowanie nazw domen według specjalnego algorytmu oraz rejestrowanie powstałych domen umożliwia szkodliwemu użytkownikowi przemieszczanie centrum kontroli przez długi czas. W celu rejestrowania domen wykorzystuje się wiele zajmujących się tym organizacji pochodzących z różnych części świata: Ameryki, Afryki, Azji i Europy. Użyte przez właściciela dane rejestracyjne zawierają wyraźne ślady rosyjskie, chociaż same dane są bez wątpienia fałszywe.

Centrum kontroli wykorzystuje najróżnorodniejsze usługi hostingowe na świecie, potrafi w ciągu kilku minut przenieść się do nowego hostingu, co uniemożliwia zamknięcie go, nie wpływa jednak negatywnie na jego funkcjonalność. Metoda ta przypomina technologię Fast-Flux, która jest aktywnie wykorzystywana przez robaki z rodziny Zhelatin (robak Storm). Jednak Fast-Flux pozwala tylko na ciągłą zmianę adresów IP zainfekowanych domen, podczas gdy technologia zaimplementowana w bootkicie umożliwia zmienianie domen jak również adresów IP. Centrum kontroli zawiera bazę danych zarejestrowanych domen, które mogą być wykorzystane do hostingu centrum kontroli.
Podczas początkowego procesu infekcji, gdy uruchamiany jest exploit, maszyna ofiary pobiera bootkita, który ma pracować z aktywnym w danym momencie centrum kontroli. Gdy system zostanie ponownie uruchomiony i bootkit zacznie działać z pełną mocą, bot próbuje połączyć się z centrum kontroli. Szkodliwy program tworzy specjalnie spreparowany pakiet sieciowy przy użyciu ID zainfekowanego komputera i próbuje wysłać go do serwera kontroli, który posiada już informacje o zainfekowanych komputerach.