Дабы укрепить неуязвимость ботнета, его владельцы установили беспрецедентно высокую частоту обращений ботов при сбое или отказе сервера – до 3 млн. запросов в сутки. Троян также занимается сбором почтовых адресов с винчестеров зараженных машин для формирования спамерской базы. Кроме того, на сервере был найден софт для взлома сайтов финансово-новостной тематики. Причем целью взломщика тоже служили списки почтовых адресов, по которым впоследствии рассылалась реклама биржевых услуг. Генерируются спам-письма по шаблонам, позволяющим избежать обнаружения большинством распространенных фильтров. Сообщения включают как текст, так и картинки со случайным набором пикселов. Дабы не попасть в спам-списки, хакеры наладили циркуляцию в ботнете регулярно обновляемого списка прокси-серверов, доступного всем ботам.
Грабь награбленное
Большие сети компьютеров-зомби формируются, как правило, вследствие распространения червей, использующих свежую уязвимость или просто талантливо (в определенном смысле) написанных, так что создать свой ботнет "на ровном месте" могут немногие. И те, кто не в состоянии сформировать сеть с нуля, но испытывают в ней настоятельную потребность, иногда приобретают уже готовый ботнет или «уводят» его у своих "коллег". Для этих целей даже разработаны специальные хакерские утилиты.
В поисках особого пути
Децентрализация ботнетов в случае со SpamThru – не единственное новшество в организации зараженных сетей. Уже в 2007 году представители компании Apbor Networks заявили, что им удалось обнаружить несколько ботнетов, не использующих IRC-каналы. Вместо этого боты связывались по не вызывающим подозрений веб-соединениям. В случае с такими сетями становятся неэффективными алгоритмы многих IPS/IDS-систем, выявляющих вторжения по подозрительной IRC-активности. А чтобы опознать контактирующих через веб ботов, необходимо задать в сигнатурах, то есть в профилях атак в IDS/IPS, конечные адреса обращений ботов или команды управления сетью зомби. Разумеется, этих данных у специалистов по безопасности зачастую нет.
И наконец, в марте о свежей возможности организации ботнетов сообщил Билли Хоффман, сотрудник компании SPI Dynamics. Он написал на JavaScript приложение Jikto, которое позволяет заставить зараженные компьютеры искать дыры на сайтах и в случае обнаружения устраивать атаки или красть информацию. В отличие от ранее применявшихся хакерами сканеров уязвимостей, Jikto работает непосредственно через браузер. Скрипт получает команды от своего разработчика, не оставляя следов пребывания на компьютере-зомби, и делает практически невозможным обнаружение виновника атаки, так как сканирование фактически осуществляют сами пользователи зараженных машин. Хозяин может отдавать Jikto приказы, сообщая, какой сайт и на какого рода уязвимость нужно проверить.
