Создатели ботнетов стали использовать веб-протоколы

Создатели сетей зараженных машин (ботнетов) внедряют новые каналы связи с инфицированными компьютерами. Вместо каналов IRC, которые достаточно быстро могут быть обнаружены специалистами по обеспечению информационной безопасности, распространители вредоносных программ стали использовать веб-соединения.

Представитель Arbor Networks Хосе Насарио (Jose Nazario) сообщил, что вместе со своими коллегами в прошлом году обнаружил несколько ботнетов, которые не использовали для связи обычные в таких случаях IRC. Внимательно изучив работу вредоносных сетей, Насарио обнаружил, что в них используется не вызывающее подозрений веб-соединение.

Каналы IRC, предназначенные для обмена текстовыми сообщениями в реальном времени, традиционно были обычным средством коммуникации хакеров. Кроме того, каналы использовались для связи зараженных компьютеров с авторами вредоносных программ. IRC не нашли широкого применения в корпоративной среде и могли быть легко обнаружены системами для выявления внешних вторжений (IDS).

В настоящее время все больше операторов ботнетов стараются скрыть свои контакты с зараженными машинами, используя веб-протоколы. В связи с этим экспертам в области безопасности теперь необходимо знать конечные точки, с которыми связываются зараженные машины или специфические команды, используемые в ботнетах. В противном случае IDS-сигнатуры просто не позволят зафиксировать атаку.

Операторам ботнетов стало проще скрывать и боты (зараженные компьютеры). Сейчас у специалистов по информационной безопасности нет способа выяснить точное число ботов.

Эксперты из организации Shadowserver Foundation, которая изучает ботнеты и вредоносные программы, также заметили перемены в механизмах управления сетями зараженных машин. По словам директора Shadowserver Foundation Андрэ М. ди Мино (Andre` M. Di Mino), для управления ботнетами и дальше будут использоваться и пиринговые сети (IRC-каналы), и протокол HTTP. При этом ди Мино считает, что ботнеты, управляемые через пиринговые сети, закрывать будет значительно сложнее: «Пиринговые сети представляют сложность поскольку не являются централизованной схемой — каждый бот может самостоятельно отправлять свои собственные команды. Они более разветвлены и сложны в изоляции».

Использование протокола HTTP в ботнетах требует дополнительного изучения, убежден ди Мино. «Исходя из того, что мы видим сейчас, процент использования HTTP в ботнетах очень мал в сравнении с использованием IRC. Нас беспокоит то, что мы не видим. Потому что если мы этого не видим, это не значит, что предмета для беспокойства нет». Ди Мино также полагает, что ботнеты, использующие веб-протоколы будут существовать дольше чем, IRC-ботнеты: «Веб-протоколы продлят жизнь ботнетов и сделают их менее заметными».

Марк Лавлесс (Mark Loveless), старший специалист по вопросам безопасности компании Vernier Networks, не видит причин скорого отказа от использования IRC в управлении ботнетами. «Это программное обеспечение с открытым кодом. Оно действительно доступно для тех, кто впервые пытается создать ботнет. Если бы я собирался создать ботнет, то использовал бы для управления какой-нибудь скрытый канал».