Το ZeroAccess botnet είναι ένα από τα μεγαλύτερα γνωστά botnet σε λειτουργία με ΅πληθυσμόΆ άνω των 1.9 εκατομμυρίων υπολογιστών, όπως παρατηρήθηκε από την Symantec τον Αύγουστο 2013. Ένα βασικό χαρακτηριστικό του ZeroAccess botnet είναι η χρήση της αρχιτεκτονικής peer-to-peer (P2P) command-and-control (C&C), η οποία προσδίδει στο botnet ένα υψηλό βαθμό διαθεσιμότητας και redundancy. Καθώς δεν υπάρχει κεντρικός C&C server, δεν είναι εφικτή απλά η απενεργοποίηση των attacker server για την εξουδετέρωση του botnet. Οποιαδήποτε στιγμή ένας υπολογιστής μολυνθεί με το ZeroAccess, το πρώτο πράγμα που κάνει είναι να πλησιάσει peers και να ανταλλάξει λεπτομέρειες στο P2P δίκτυο. Με αυτόν τον τρόπο, τα bot αναγνωρίζουν άλλα παρόμοια και μπορούν να διαδώσουν οδηγίες και αρχεία μέσω του δικτύου γρήγορα και αποτελεσματικά. Στο ZeroAccess botnet υπάρχει μία συνεχή επικοινωνία μεταξύ των peers. Κάθε peer συνδέεται συνεχώς με άλλους peer για την ανταλλαγή λιστών και έλεγχο των ανανεωμένων λιστών, καθιστώντας τους ιδιαίτερα ανθεκτικούς σε οποιαδήποτε προσπάθεια αφαίρεσης.
Η μέθοδος sinkhole που χρησιμοποιεί το botnet
Τον προηγούμενο Μάιο, οι τεχνικοί ξεκίνησαν να μελετούν σε βάθος τον μηχανισμό που χρησιμοποιούσαν τα bot του ZeroAccess για να επικοινωνήσουν μεταξύ τους, έτσι ώστε να δουν πως μπορεί να υλοποιήσουν τη μέθοδο sinkhole στο botnet. Κατά τη διάρκεια αυτής της διαδικασίας, εξετάστηκε μία συγκεκριμένη ευπάθεια που προσέφερε έναν δύσκολο, αλλά όχι ακατόρθωτο, τρόπο για να χρησιμοποιηθεί η μέθοδος sinkhole στο botnet. Διεξήχθηκαν επιπλέον τεστ στα εργαστήρια και βρέθηκε ένας πρακτικός τρόπος για να απελευθερωθούν οι peers από τον botmaster. Κατά τη διάρκεια αυτής της διαδικασίας, συνεχίστηκε η παρακολούθηση του botnet, όπου στις 29 Ιουνίου, εντοπίστηκε μία νέα έκδοση του ZeroAccess που διανεμήθηκε μέσω του peer-to-peer δικτύου. Η αναβαθμισμένη έκδοση περιείχε μία σειρά από αλλαγές, αλλά κυρίως είχε τροποποιήσεις που βελτίωναν τις σχεδιαστικές ατέλειες, οι οποίες καθιστούσαν ευάλωτο το botnet. Η αδυναμία του μηχανισμού P2P του ZeroAccess αναφέρθηκε από ερευνητές σε μία αναφορά που δημοσιεύθηκε τον Μάιο του 2013. Το γεγονός αυτό μπορεί να κινητοποίησε τον botmaster του ZeroAccess και να προέβη στην αναβάθμισή του, αποτρέποντας πλέον οποιαδήποτε προσπάθεια για sinkhole στο ZeroAccess botnet.
Βλέποντας τις αλλαγές, και έχοντας ήδη ένα στημένο σχέδιο προς υλοποίηση, η Symantec είχε μόνο μία επιλογή: να θέσει σε λειτουργία εκείνη την στιγμή το σχέδιο αντιμετώπισης του botnet, διαφορετικά υπήρχε το ρίσκο να χαθεί η ευκαιρία. Στις 16 Ιουλίου ξεκίνησε η διαδικασία sinkhole των μολυσμένων με ZeroAccess συστημάτων. Αυτή η διαδικασία είχε ως αποτέλεσμα την αφαίρεση περισσότερων από μισό εκατομμύριο bots και ήταν ένα πλήγμα στον αριθμό των bots που ελέγχονται από τον botmaster. Κατά μέσο όρο, χρειάστηκαν μόλις 5 λεπτά μιας P2P δραστηριότητας για να ξεκινήσει το sinkhole του ZeroAccess bot. Για να κατανοηθούν οι επιπτώσεις αυτής της ενέργειας, πρέπει πρώτα να κατανοηθεί τη χρήση του ZeroAccess botnet.
ZeroAccess: υπηρεσία courier
Με βάση την κατασκευή του και τη συμπεριφορά του, το ZeroAccess φαίνεται να έχει σχεδιαστεί αρχικά για να μεταφέρει payload σε μολυσμένους υπολογιστές. Στο ZeroAccess botnet, η παραγωγική δραστηριότητα (από την πλευρά του επιτιθέμενου) εκτελείται από τα payload που κάνουν download οι μολυσμένοι υπολογιστές, που συνοψίζεται σε δύο βασικούς τύπους, οι οποίοι έχουν ως στόχο τις δραστηριότητες δημιουργίας εισοδήματος.
Click fraud
Ένας τύπος payload είναι το click fraud Trojan. Τα download των online διαφημίσεων στον υπολογιστή περιέχουν Trojan , ενώ μετέπειτα δημιουργεί πλαστά κλικ στις διαφημίσεις, που μοιάζουν να έχουν δημιουργηθεί από νόμιμους χρήστες. Αυτά τα ψευδή κλικ προσμετρούν στην πληρωμή στα προγράμματα pay-per-click (PPC).
Bitcoin mining
Αυτό το virtual νόμισμα έχει γίνει στόχος των κυβερνοεγκληματιών. Ο τρόπος που το κάθε bitcoin υφίσταται βασίζεται στην διεξαγωγή μαθηματικών λειτουργιών, γνωστών και ως “mining” στο hardware του υπολογιστή. Αυτή η δραστηριότητα έχει άμεση αξία για τον botmaster και ένα κόστος για τα ανυποψίαστα θύματα. Εξετάστηκαν σε βάθος οι επιπτώσεις αυτής της δραστηριότητας μέσω της χρήσης παλαιών υπολογιστών που ήταν διαθέσιμοι στο εργαστήριο.
Η παύση των P2P botnet είναι δύσκολη αλλά όχι αδύνατη
Η ενασχόληση με το συγκεκριμένο botnet, έβγαλε το συμπέρασμα ότι παρά την ανθεκτικότητα της P2P αρχιτεκτονικής του ZeroAccess, η Symantec ήταν σε θέση να πραγματοποιήσει τη μέθοδο sinkhole σε ένα μεγάλο αριθμό bots. Αυτό σημαίνει ότι αυτά τα bot δεν θα είναι πλέον διαθέσιμα να λαμβάνουν εντολές από τον botmaster, αλλά και να χρησιμοποιούνται από το botnet για να μοιράζουν εντολές ή να ανανεώνουν / δημιουργούν πρόσθετο εισόδημα.
Εντωμεταξύ, η Symantec συνεργάστηκε στενά με τους ISPs και τους CERTs σε παγκόσμιο επίπεδο, έτσι ώστε να μοιραστεί πληροφορίες που θα βοηθήσει τους μολυσμένους υπολογιστές να καθαριστούν.