Ботнеты атакуют

4. Способы защиты

В Израиле были арестованы и в марте 2005 года осуждены два брата, Рут (28 лет) и Майкл Хефрати. Они были признаны виновными в создании преступной группы, взломе и незаконном доступе к компьютерной информации. Криминальные родственники разработали шпионскую программу и продавали ее израильским компаниям, которые нуждались в сборе конфиденциальной информации о своих конкурентах. Программа-шпион внедрялась на компьютеры локальной сети конкурента и занималась тайным сбором важной информации и различных секретных данных.

Арест нескольких даже достаточно крупных операторов бот-сетей, к сожалению, не может служить утешением коммерческим и государственным организациям, которые противостоят виртуальному криминалу. Даже после того, как компания Microsoft перешла на регулярный выпуск патчей и обновлений к своей операционной системе, среднее время их установки на особо важных участках, то есть серверах, прежде всего подвергавшихся сетевым атакам, колеблется от 19 дней до трех недель. На ликвидацию уязвимостей на всех машинах, подключенных к корпоративным сетям, уходит до семи недель, и это только средние показатели. У хакеров более чем достаточно времени для организации успешных атак.

На устранение последствий атаки в Аунбурнском университете ушло около трех недель. Антивирусное ПО было не в состоянии удалить все копии вредоносных программ со всех компьютеров одновременно, а один-единственный вирус мог инициировать новую волну заражения. Персонал, занимавшийся обслуживанием компьютеров и локальной сети под руководством Уилсона, был вынужден просто отформатировать все жесткие диски на всех компьютерах локальной сети и переустановить полный комплект программного обеспечения. С тех пор в Аубурне регулярно проводятся занятия для студентов и сотрудников университета по информационной безопасности, которые учатся не нажимать без разбора на все интернет-ссылки, которые получают по электронной почте. Перед регистрацией каждого студента как нового пользователя сети, ему демонстрируют видеофильм по компьютерной безопасности. В сети университета ведется жесткий контроль своевременного обновления антивирусного программного обеспечения и установки всех патчей и обновлений для операционной системы Windows. Доступ в Internet Relay Chat заблокирован файрволлом как извне, так и внутри локальной сети. С тех пор университет Аубурна не помнит вирусных атак, но ничто не может исключить их повторения. Каждое подразделение или факультет любого образовательного учреждения имеет свои внутренние правила по работе с компьютерами и компьютерными сетями, они могут изменять их по своему усмотрению, а заодно и политику информационной безопасности. Каждая компания обязана уделять повышенное внимание на каждом уровне компьютерной безопасности — от отдельной рабочей станции до сервера, от локальной сети до полного контроля над внешними каналами связи. Сюда входит и правильная настройка файрволла, антивирусного программного обеспечения, программ для автоматического обновления, систем предупреждения сетевых атак, защитных почтовых шлюзов, приложений для контроля над рекламным ПО. В качестве конкретных шагов по обеспечению компьютерной безопасности можно рекомендовать практику закрытия портов, которые используются определенными приложениями, например, как это было сделано в университете Аубурна, блокировка портов 6666 и 6667 сделала невозможным общение не только студентов, но и небезопасных ботов на каналах Internet Relay Chat. Компания Microsoft также настоятельно рекомендует блокировать порты 135, 137, 138 и 139 на уровне файрволла, а также порт 593, через который компьютеры могут общаться друг с другом во Всемирной паутине, и порт 445 — основную лазейку для интернет-червей, таких, как Sasser, Agobot и Zotob. Также не помешает блокировка всего нежелательного входящего трафика через порты с номерами выше 1024. Эксперты в области безопасности советуют постоянно вести мониторинг сетевого трафика, как локального так и внешнего. Это позволит распознавать признаки несанкционированного и нежелательного вторжения на ранней стадии и своевременно пресекать их. Администраторы корпоративных сетей должны уметь предотвращать вирусные атаки на свою сеть, обезвреживать их и устранять последствия, изолировать пораженные машины от остальной сети, изучать особенности вирусов, вероятные пути их проникновения. Существуют даже курсы этичного хакинга (ethical hacking), на которых изучаются особенности взлома компьютерных сетей не для его реализации, но для грамотного противостояния. Невозможно оставаться на одном месте в этой борьбе, потому что методы, используемые сегодня, могут оказаться бесполезными в предотвращении тех атак, которые произойдут завтра.

Попробуем свести воедино краткое досье на тех, кто сделал создание и использование ботнетов своим бизнесом или подозревался в подобной деятельности.

Дженсон Джеймс Анчета, кличка "Resili3nt".
Место жительства — городок Дауни, Калифорния.
Компьютерщик-самоучка. Федеральным судом Лос Анджелеса был признан виновным в создании ботнетов и заражении 400 тысяч компьютеров, в том числе принадлежавших военно-морской базе Чайна Лейк, Калифорния. Подконтрольные ему ботнеты также занимались установкой рекламного программного обеспечения, что принесло Анчете около $60.000. За совершенные компьютерные преступления ему грозило до 25 лет лишения свободы и миллион долларов штрафа. Был осужден на 57 месяцев тюремного заключения.

Кристофер Максвелл, кличка "donttrip".
Привлекался к суду в марте 2006 года за атаку на компьютеры Северо-Западной больницы Сиэттла. Атака вывела из строя пейджинговую связь с врачами больницы, из-за сбоев компьютеров не работали операционные и реанимационное отделение. Предполагается, что вместе с сообщниками ему удалось получить свыше 100 тысяч долларов за несанкционированную установку рекламного программного обеспечения. В первом слушании суд вынес оправдательный приговор, но позднее, в мае 2006 года, постановил выплатить штраф в сумме 252 тысяч долларов.

Энтони Скотт Кларк, кличка "Volkam".
В декабре 2005 года был признан виновным в атаке на серверы компании eBay, которая производилась летом 2003 года посредством ботнетов, насчитывавших до 20.000 зараженных машин. Преступникам не удалось полностью отключить серверы eBay, но в течение длительного времени июля и августа 2003 года атака весьма негативно сказывалась на качестве их работы и доступности для клиентов аукциона. Кларк признал свою вину и в настоящее время ожидает решения суда, ему грозит до 10 лет лишения свободы и штраф в $10.000.

Саад Эхофни (Saad Echouafni), кличка "Jay".
После приобретения провайдерской компании он нанял людей для выполнения DDoS атак на сетевые ресурсы своих конкурентов по бизнесу в области спутникового доступа к сети Интернет. Эти атаки вывели из строя серверы департамента Homeland Security и даже торговую площадку Amazon.com. С 2004 года Эхофни находится в бегах и занимает одну из первых позиций в списках беглецов, разыскиваемых подразделениями ФБР Лос-Анджелеса.

Джеффри Ли Парсон.
Уже почти отсидел в федеральной тюрьме свой срок в 18 месяцев, полученный за заражение 48 тысяч компьютеров на территории США своим клоном червя MS Blaster летом 2003 года. Вирус Парсона занимался не только распространением самого себя и поиском уязвимых компьютеров, но и предоставлял создателю возможность контроля над зараженными компьютерами.

Фарид Эссебар, кличка "Diabl0".
По слухам, имеет русские корни, проживал в Марокко.
Достаточно профессионально и успешно увлекался созданием червей, таких, как Mytob, Zotob. Использовал свои творения, как и Анчета, для несанкционированной установки adware.

Атилла Экичи, кличка "Coder".
Возраст — 21 год, житель Турции.
Помощник и сподвижник Эссебара, за что и был арестован в августе 2005 года. У ФБР есть доказательства того, что за созданные Эссебаром вирусы Атилла расплачивался при помощи краденых кредитных карт.

Хроника событий в жизни ботмастеров и ботнетов за 2005 год

5 января
Вирус, созданный Анчетой, атаковал компьютеры Министерства обороны США на военно-морской базе Чайна Лейк.

7 января
Анчета получил $450,63 на свой счет в система PayPal за распространение рекламного ПО в сети Интернет от компании Loudcash (сейчас эта компания принадлежит более крупной компании 180solutions). Для установки adware Анчета использовал мощь своих ботнетов. После суда производители рекламного ПО 180solutions заявили о том, что внесли в свои продукты изменения, которые делают их установку без ведома владельца компьютера невозможной.

9 января
Кристофер Максвелл со своей зомби-армией полностью блокирует работу локальной сети Северо-Западной больницы Сиэттла. Материальный ущерб от аварии оценивается в 150 тысяч долларов, но отключенные пейджеры врачей и сбои в работе оборудования в операционных и отделении реаниматологии не имеют материального эквивалента.
Вирус Анчеты проникает в еще одно учреждение Министерства обороны — Агентство защиты информационных систем в Арлингтоне.

10 января
Анчета открывает депозит в банке Wells Fargo, успешно обналичив в нем чек на сумму в $2.139,86, полученный от онлайновой рекламной компании Gammacash.

15 марта
Исследователи некоммерческого проекта Honeynet зафиксировали одновременную работу в сети Интернет свыше ста ботнетов, суммарная мощность которых создавалась миллионом инфицированных компьютеров.

16 марта
Максвелл взламывает один из серверов хостинговой компании в Далласе и превращает его в центр управления своими ботнетами.

24 мая
Федеральная торговая комиссия проводит "Операцию Спам Зомби" для предупреждения роста количества ботнетов, рассылающих спам в сети Интернет.

26 мая
Федеральное Бюро Расследований проводит обыск в доме Анчеты и его сообщника, а также на серверах хостинговой компании Sago Networks. Из всех трех мест конфискуются компьютеры.
В сети Интернет регистрируется новый вид сетевой атаки, в котором одновременно участвуют и успешно взаимодействуют сразу три вида компьютерных вирусов, которые обеспечивают сканирование на предмет уязвимостей, проникновение в компьютер, отключение системы его безопасности и превращение в полигон для дальнейшего распространения сетевой инфекции и формирования ботнета.

31 мая
Израильская полиция арестовывает двух братьев, создавших вредоносную шпионскую программу и продавших ее трем частным детективным агентствам, которые использовали spyware для сетевой слежки за конкурентами своих клиентов. В марте 2006 года криминальный дуэт был осужден.

26 июля
Институт SANS обнародовал статистику уязвимостей компьютеров, подключенных к сети Интернет. За период с апреля по июнь было открыто 422 новые прорехи в системе защиты, которые становятся молчаливыми помощниками хакеров — это на 20% больше, чем за аналогичный период предыдущего года.

25 августа
При содействии ФБР был арестован 18-летний марокканец Фарид Эссебар, создатель червя Zotob и вируса Mytob. В Турции взят под стражу его сообщник Атилла Экичи, который финансировал создание новых вирусов.

10 сентября
Компания F-Secure, производитель программного обеспечения для компьютерной безопасности, обнаружила в Сети несколько хакерских сайтов, на которых производилась продажа исходных кодов компьютерных вирусов и другого вредоносного ПО с оплатой через платежную систему PayPal.

7 октября
В Нидерландах арестована преступная группа в составе трех человек, которой удалось создать и контролировать ботнет из полутора миллионов инфицированных компьютеров.

3 ноября
ФБР арестовывает Анчету.

27 декабря
Энтони Скотт Кларк предстал перед федеральным судом города Сан Хосе за организацию DDoS-атаки на серверы интернет-аукциона eBay с использованием ботнета в июле-августе 2003 года. Решение суда еще не вынесено, выпущен под залог в $5.000.

Подсчитать затраты на создание, развитие и поддержку системы сетевой безопасности, способной защитить корпоративную сеть от DDoS-атак, непросто. Прежде всего необходимо определить, во что обойдется простой серверов в течение нескольких часов или нескольких дней, сколько средств и усилий нужно будет направить на восстановление информации при вероятной ее потере. Но в любом случае не стоит дожидаться письма от киберрэкетиров с предложением выплатить выкуп в 50 тысяч долларов под угрозой сетевого нападения. При разработке проекта сетевой безопасности нужно критически и весьма тщательно рассмотреть все возможные уязвимости, имеющиеся в сети, через которые атака может быть совершена, использовать средства интернет-провайдера, который обеспечивает ваше подключение к внешней сети, и активно с ним взаимодействовать.
Прежде всего в арсенале защитных средств понадобится хороший и мощный анализатор сетевого трафика, который позволит выполнять диагностику, идентификацию и перенаправление всего подозрительного трафика. Использование программного обеспечения для фильтрации пакетов необходимо комбинировать со специальными техническими и аппаратными средствами, которые устанавливаются между маршрутизаторами и файрволлами. Самое надежное первое правило для файрволла — "запретить все".

Компания Tippingpoint, купленная в прошлом году гигантом 3Com, одной из первых разработала специальное устройство, которое автоматически блокирует вредоносную или несанкционированную сетевую активность без вмешательства человека. Традиционные файрволлы и системы предупреждения сетевых вторжений требуют активного участия администратора в их настройке и эксплуатации, анализа новых видов сетевых угроз и выработки правил действий по защите. Полностью автоматическая система может самостоятельно распознавать нежелательную сетевую активность и успешно блокировать паразитный трафик, делая это незаметно даже для хозяина защищаемой корпоративной сети. Нежеланные гости в виде шпионского и рекламного программного обеспечения, компьютерные вирусы, трояны и черви остаются за пределами защищенного участка сети. Блокировка нежелательного трафика устройством начинается немедленно после подключения его к сети без какой-либо предварительной настройки.
В качестве иллюстрации практики использования подобных средств можно привести такой пример.

После того как на восточное побережье США обрушился ураган Катрина, американское отделение Красного Креста было вынуждено на какое-то время открыть доступ к своим сетевым ресурсам из нескольких тысяч мест, в которых были организованы убежища для пострадавших. Работала система поиска людей с доступом к базе данных этой организации через веб-сайт. В тот же день администратор сервера понял, что без системы защиты ему не обойтись, а времени на ознакомление с ее устройством, принципом работы, наладку и настройку у него просто нет. Требовалось срочно изолировать локальную сеть Красного Креста, которая насчитывала около 20.000 компьютеров от всех сегментов общего доступа. Компания TippingPoint немедленно предоставила свое оборудование, и как только оно было подключено к сети, все следы сетевого трафика, порождаемого вирусами и вредоносным программным обеспечением, исчезли с системных мониторов. Нежелательный трафик как будто уперся в периметр сети и не мог его преодолеть. За все время использования системы TippingPoint не было зафиксировано ни одного ложного срабатывания, весь полезный сетевой трафик доставлялся без малейших проблем и задержек.

Екатерина Грень


Компьютерная газета. Статья была опубликована в номере 25 за 2006 год в рубрике безопасность

©1997-2024 Компьютерная газета