Storm botnet – Wiki

Storm botnet

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji , szukaj
Typowy cykl życiowy spamu , który pochodzi z botnetu:
(1) Strona spamera (2) Spamer (3) Spamware (4) Zainfekowane komputery (5) Wirus lub trojan (6) Serwery pocztowe (7) Użytkownicy (8) Ruch internetowy

Storm botnet lub po prostu Storm – grupa komputerów "zombie" ( botnet ) kontrolowana na odległość. Storm botnet wykorzystywany jest w różnych dziedzinach wirtualnej przestępczości.

Po raz pierwszy został zidentyfikowany w styczniu 2007. W pewnym momencie Storm worm stanowił 8 proc. całego złośliwego oprogramowania znajdującego się na komputerach z systemem Microsoft Windows [1] . Według szacunków z marca 2008 , 20% światowego spamu pochodzi z botnetu Storm [2] .

Spis treści

[ edytuj ] Wielkość sieci

We wrześniu 2007 oszacowano, iż Storm może składać się z od 1 miliona do 50 milionów systemów komputerowych połączonych dzięki Storm Worm , koniowi trojańskiemu , który rozpowszechnił się poprzez spam e-mailowy [3] . Inne źródła umiejscawiają oszacowaną liczbę pomiędzy 250 tys. a 1 mln systemów. Pewien specjalista od bezpieczeństwa sieciowego twierdzący, iż stworzył oprogramowanie, które może poruszać się pomiędzy zainfekowanymi komputerami mówi, że zainfekowanych komputerów jest jedynie 160 tys. [4] .

Na podstawie danych z września 2007 roku stwierdzono, iż Storm botnet ma możliwość odcięcia od internetu całego kraju i posiada potencjalną możliwość wykonywania większej liczby obliczeń na sekundę, niż najlepsze superkomputery [5] . Jednak nie jest to trafne porównanie; według specjalisty od bezpieczeństwa sieciowego Jamesa Turnera, podobnie można porównać "armię snajperów i broń jądrową " [6] . Bradley Anstis, pracownik brytyjskiej firmy Marshall, stwierdził, iż: "Bardziej niepokojąca jest możliwość obciążenia internetu. Wystarczy pomnożyć możliwość ADSL razy 40 milionów. To bardzo duży transfer. Jest to bardzo niepokojące. Mając takie zasoby w zasięgu ręki, można wykonać dystrybuowane ataki typu DoS przeciwko hostom " [6] .

22 kwietnia 2009 świat obiegła informacja jaką podała firma Finjan, która od miesięcy obserwuje Storm botnet składający się z 1, 9 miliona przejętych komputerów [7] .

[ edytuj ] Początki

Po raz pierwszy wykryty w styczniu 2007 roku, jego nazwa pochodzi od angielskiego wyrazu storm oznaczającego burzę , nawiązując do pierwszych e-maili rozpowszechniających robaka, których tytułem było "230 dead as storm batters Europe" ( pol . 230 zabitych podczas burzy w Europie). Później korzystano z innych prowokujących tytułów jak "Amerykański samolot zestrzelony przez chińską rakietę" czy " Saddam Husajn żyje!" [3] . Po uruchomieniu załącznika dołączonego do e-maila, komputer zostaje zainfekowany robakiem Storm Worm. Jedynym systemem, który może zostać zainfekowany robakiem jest system Microsoft Windows .

Dziennikarz komputerowy Mark Stephens, piszący pod pseudonimem Robert X. Cringely twierdzi, iż główna wina istnienia Storm Botnet obciąża Microsoft i Adobe Systems . Pisze: "Jednym ze sprawców muszą być twórcy Flash, IE, Outlook i P-Point. Nadal płacimy za lata, w których Adobe i Microsoft beztrosko ignorowali luki bezpieczeństwa, choć wydaje się, iż teraz starają się już bardziej" [8] . Według Patricka Runalda Storm, "botnet jest mocno skoncentrowany na Ameryce i prawdopodobnie ma swoich agentów na terenie" Stanów Zjednoczonych [9] . Inni eksperci twierdzą jednak, iż osoby kontrolujące ten botnet są Rosjanami , cytując, iż oprogramowanie Storm posiada nienawistne odniesienia do moskiewskiej firmy komputerowej Kaspersky Lab i zawiera rosyjski wyraz "buldozhka" oznaczający bulldoga [10] .

[ edytuj ] Struktura

Storm botnet (lub "sieć zombie") składa się z komputerów z zainstalowanym systemem operacyjnym Microsoft Windows , jako że jest to jedyny system podatny na robaka Storm Worm [5] . Po infekcji komputer staje się botem i zaczyna wykonywać automatyczne zadania – od pobierania danych o użytkowniku po atakowanie stron internetowych i wysyłanie zainfekowanych e-maili bez wiedzy użytkownika. Oszacowana liczba komputerów zajmująca się rozsyłaniem złośliwego oprogramowania Storm poprzez załączniki w wiadomościach to liczba pomiędzy 5 a 6 tys.; w samym wrześniu 2007 roku wysłanych zostało ponad 1, 2 mld zainfekowanych wiadomości, z rekordowym wynikiem 57 mln wysłanych 22 sierpnia [5] . Lawrance Baldist, specjalista komputerowy stwierdził, iż "summa summarum Storm rozsyła miliardy wiadomości dziennie. Z łatwością może podwoić tę liczbę" [3] . Jedną z metod do przyciągania ofiar do spreparowanych stron internetowych jest reklamowanie serwisów oferujących darmową muzykę takich artystów, jak Beyoncé Knowles , Kelly Clarkson , Rihanna , The Eagles , Foo Fighters , R. Kelly czy Velvet Revolver [11] .

Serwery back-end kontrolujące działanie botnetu i Storm worma automatycznie szyfrują swoje oprogramowanie infekujące dwukrotnie w ciągu godziny, co sprawia iż jest one trudne do wykrycia przez programy antywirusowe i utrudnia zmniejszenie rozpowszechniania się robaka. Dodatkowo, serwery, które kontrolują botnet, są schowane za permanentnie zmieniającym się DNS , stosując technikę nazywaną " fast flux ", przez co trudno zlokalizować serwery www i poczty dystrybuujące wirusa. Operatorzy Storma kontrolują botnet korzystając z technik peer-to-peer , co utrudnia monitorowanie i blokowanie systemu [12] . Nie istnieje jedno, centralne miejsce zarządzające systemem, które można by było zablokować. Storm dodatkowo korzysta z szyfrowanego połączenia [13] . Próby zainfekowania komputerów głównie rozchodzą się wokół przekonania użytkownika do uruchomienia załącznika w e-mailu, korzystając z chwytów socjotechnicznych . Przykładowo, kontrolerzy botnetu wykorzystali rozpoczęcie rozgrywek ligi NFL , największej zawodowej ligi futbolu amerykańskiego , rozsyłając programy "oferujące" programy do analizy wyników meczów, które nie robiły nic poza infekcją komputera [14] . Według Matta Sergeanta, głównego specjalisty od technologii anty-spamowych w firmie MessageLabs , "Jeśli chodzi o moc, botnet ten kompletnie przewyższa superkomputery. Jeśli zsumujesz 500 najlepszych superkomputerów i tak przewyższy je jedynie swoimi 2 milionami komputerów. Jest to przerażające, iż kryminaliści mają dostęp do takiej mocy, a my nie możemy zbyt dużo w tej sprawie zrobić" [5] . Szacuje się, iż na razie używane jest zaledwie 10%-20% całkowitej mocy Storma [15] .

Specjalista od bezpieczeństwa sieciowego Joe Stewart opisał szczegółowo proces, w jakim maszyny dołączają do botnetu: próby połączenia z botnetem są wykonywane poprzez uruchamianie serii plików EXE znajdujących się w danym systemie. Zazwyczaj nazywane są jak ciąg od game0.exe do game5.exe lub podobnie, i wykonują następujące czynności [16] :

  1. game0.exe - Backdoor /"ściągacz"
  2. game1.exe - Przekaźnik SMTP
  3. game2.exe - Złodziej adresów e-mail
  4. game3.exe - "Rozprzestrzeniacz" zainfekowanych e-maili
  5. game4.exe - Narzędzie do ataków typu DoS
  6. game5.exe - Zaktualizowana kopia "umiejscawiacza" robaka Storm

Przy każdym etapie następuje połączenie z botnetem; fast flux DNS utrudnia śledzenie tego procesu. Kod ten uruchamiany jest z %windir%\system32\wincom32.sys na systemie Windows poprzez rootkit kernela , a wszystkie połączenia do botnetu wykonywane są poprzez zmodyfikowany protokół eDonkey / Overnet .

Przypisy

  1. Dvorsky, George . "Storm Botnet storms the Net" , Institute for Ethics and Emerging Technologies, 24 września 2007
  2. "One fifth of all spam springs from Storm botnet" 15x18-fileicon-pdf.png MessageLabs Intelligence: Q1 / March 2008, 01.04.2008
  3. 3,0 3,1 3,2 Spiess, Kevin. "Worm 'Storm' gathers strength" , Neo Seeker, 7 września 2007.
  4. Francia, Ruben. "Storm Worm network shrinks to about one-tenth of its former size" , Tech.Blorge, 21 października 2007
  5. 5,0 5,1 5,2 5,3 Gaudin, Sharon. "Storm Worm Botnet Attacks Anti-Spam Firms" , InformationWeek, 18 września 2007
  6. 6,0 6,1 Tung, Liam. "Storm worm: More powerful than Blue Gene?" , ZDNet Australia, 12 września 2007
  7. Botnet contains 1.9 million infected computers , news.zdnet.com, 22 kwietnia 2009
  8. Cringely, Robert X.. "The Gathering Storm" , InfoWorld, 17 października 2007
  9. Singel, Ryan. "Report: Cybercrime Stormed the Net in 2007" , Wired News, 12 lipca 2007
  10. Larkin, Erik. "The Internet's Public Enemy Number One" , PC World, 3 grudnia 2007
  11. Gaudin, Sharon. "After Short Break, Storm Worm Fires Back Up With New Tricks" , InformationWeek, September 4, 2007
  12. Schneier, Bruce. "Gathering 'Storm' Superworm Poses Grave Threat to PC Nets" , Wired News, 4 października 2007
  13. Utter, David. "Storm Botnets Using Encrypted Traffic" , Security Pro News, 16 października 2007
  14. Gaudin, Sharon. "NFL Kickoff Weekend Brings Another Storm Worm Attack" , InformationWeek, 10 września 2007
  15. Hernandez, Pedro. "Storm Worm Rewrote the Botnet and Spam Game" , Enterprise IT Planet, 4 października 2007
  16. Stewart, Joe. "Storm Worm DDoS Attack" , Secure Works, 2 lutego 2007


Walka na noże w amerykańskiej kampanii prezydenckiej
Zaostrza się kampania prezydencka w USA, pełna wzajemnych oskarżeń i ataków personalnych. Prezydent Barack Obama określa swego republikańskiego oponenta Mitta Romney'a mianem bezlitosnego kapitalisty, Romney natomiast oskarża go o powiększenie długu publicznego.
Największe organizacje lekarzy powołały sztab kryzysowy
Najważniejsze organizacje lekarskie w Polsce powołały sztab kryzysowy. Wezwał on medyków i świadczeniodawców do niepodpisywania umów z NFZ na wystawianie recept refundowanych.
Nowy wiersz Grassa, tym razem na temat Grecji
W niecałe dwa miesiące po opublikowaniu krytykującego Izrael wiersza niemiecki laureat literackiej nagrody Nobla Guenter Grass ponownie wdał się w poetycką polemikę na aktualny polityczny temat - tym razem postępowania UE wobec pogrążonej w kryzysie Grecji.
Odwrócenie trendów? PO już nie traci
Platforma Obywatelska zyskuje na poparciu, PiS traci. Różnica między tymi partiami wynosi 10 procent - takie są wyniki najnowszego sondażu telefonicznego TNS Polska dla programu Forum w Telewizji Polskiej.
Kombatanci upokorzeni na granicy? PiS interweniuje
Klub Parlamentarny PiS domaga się od premiera reakcji na potraktowanie kombatantów na granicy polsko-białoruskiej. Weterani, którzy jechali do Polski na zjazd łagierników-żołnierzy AK, zostali - według PiS - upokorzeni przez polską Straż Graniczną.
Home Page , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,