09/07/2015

Zapytaj eksperta: Witalij Kamliuk odpowiada na pytania o ataki DDoS i botnety

Informacje Zagrożenia

Witalij Kamliuk posiada ponad 10 lat doświadczenia w branży bezpieczeństwa IT i obecnie jest głównym badaczem ds. bezpieczeństwa w Kaspersky Lab. Specjalizuje się w inżynierii wstecznej szkodliwego oprogramowania, informatyce śledczej oraz w prowadzeniu dochodzeń w związku z cyberprzestępstwami. Obecnie Witalij mieszka w Singapurze. Jako członek Digital Forensics Lab pracuje wspólnie z Interpolem, analizując szkodliwe oprogramowanie i pomagając w śledztwach.

ask-expert-ad2-square

Zachęciliśmy naszych czytelników do zadania Witalijowi pytań. Było ich tyle, że musieliśmy podzielić je na kilka części. Dzisiaj Witalij odpowie na pytania związane z atakami DDoS i botnetami.

Ile jest na świecie botnetów, które składają się z co najmniej 50 000 komputerów-zombi?

Według mnie jest ich nie więcej niż 20, ale to czysta spekulacja, ponieważ zazwyczaj prawdziwy rozmiar botnetu jest znany dopiero po jego zamknięciu. Chociaż celem przestępców jest jak największe rozprzestrzenienie infekcji, mogą utrzymywać rozmiar botnetu poniżej określonego progu, aby pozostać w ukryciu.

Czy są jakieś wystarczająco wyszukane botnety, które celem jest tworzenie klastrów składających się ze smartfonów, komputerów PC i Maków?

Czasami botnet może infekować komputery PC i smartfony. Dobrym przykładem może tu być Zeus-in-the-Mobile i Zeus dla komputerów PC. Wprawdzie botnety dla Maków istnieją, ale w naszej historii spotkaliśmy ich zaledwie kilka.

Jak dochodzi do wykrycia botnetu? Od czego się zaczyna? Jakie są najnowsze trendy związane ze szkodliwym oprogramowaniem i botnetami?

Aby wykryć botnet, należy najpierw znaleźć na dysku podejrzany proces lub plik. Następnie analizuje się ten obiekt i lokalizuje listę serwerów C&C. Ostatecznie trzeba uzyskać informacje o danym protokole i cyklicznie pobierać aktualizacje od danych serwerów.

Obecnie szkodliwe oprogramowanie i botnety poszukują rzetelnych mechanizmów kontroli, np. opartych na komunikacji Tor i P2P. Istnieje wiele artykułów i dokumentów na ten temat. Jeśli chcesz poznać szczegóły najnowszych trendów, zacznij od wyszukania w internecie hasła „botnet Tor”.

Co trzeba zrobić, aby unicestwić botnet?

Najlepszym sposobem jest aresztowanie właściciela botnetu. A jednoczesne złapanie dystrybutora i twórcy oprogramowania bota, zestawu exploitów i modułu kompresującego – to już pełny sukces.

Z jakiej części świata wywodzą się botnety? Jakie języki programowania są wykorzystywane do tworzenia ich oprogramowania? W jaki sposób można sprawdzić, czy krajowe systemy nie są zainfekowane botnetami? Czy istnieje jakaś druga linia obrony na nieprzewidziane okoliczności, gdy nie uda się zneutralizować cyberataków?

Botnety są wszędzie a język programowania to kwestia osobistego wyboru. Aby sprawdzić, czy Twój system nie jest częścią botnetu, należy go przeskanować oprogramowaniem antywirusowym, a następnie przeanalizować komunikację sieciową. Konieczne jest sprawdzenie, czy nie ma tam obcych i nieoczekiwanych połączeń.

Jeśli chodzi o drugą linię obrony – niestety, bieżąca architektura systemów komputerowych nie umożliwia stworzenia takiej. Do takiego stanu rzeczy przyczyniają się także prawa właścicieli komputerów, ponieważ w większości przypadków zdalne neutralizowanie zagrożenia jest traktowane jako włamanie sieciowe i jest nielegalne. Jeśli zostaniesz zainfekowany, nie będziesz mógł polegać na swoim systemie, aż nie przeprowadzisz ponownej instalacji. Wielu właścicieli komputerów nie wykazuje zainteresowania ochroną przed infekcjami, dopóki nie stracą pieniędzy.

Czy nowoczesne botnety kontroluje się za pomocą serwera IRC? Czy wystarczy pozbawić właściciela botnetu możliwości jego kontrolowania, aby zamknąć botnet?

Przestępcy mogą kontrolować botnet na wiele sposobów. IRC to tylko jeden z wielu protokołów, ma on swoje zalety i wady. Powiedziałbym, że to nieco przestarzała metoda — ogólnie nowoczesne botnety są tworzone przy użyciu HTTP.

Aby zamknąć botnet, musisz znaleźć i zaaresztować jego właściciela. I dokładnie to robi Kaspersky Lab wspólnie z Interpolem. Pozbawienie właściciela botnetu możliwości jego kontrolowania nie pomaga na długo, ponieważ większość takich osób jest dobrze przygotowana na podobne okoliczności.

Jakich należy użyć narzędzi i metod, gdy wykryje się próby przeprowadzenia ataku DDoS, biorąc pod uwagę charakter ofiary, np. dostawca usług internetowych – lokalny lub nawet międzynarodowy?

Cóż, z punktu widzenia klienta w przypadku dużych dostawców internetu najsilniejszym narzędziem zawsze będzie skuteczne filtrowanie. Ale aby je zastosować, musisz najpierw odkryć zagrożenie. Dlatego tak ważne jest złapanie bota odpowiedzialnego za atak DDoS i dokładne przeanalizowanie go. Ostateczne rozwiązanie to przejęcie mechanizmu kontrolującego botneta i zatrzymanie go od środka, ale to już inna bajka.

Jak można zmniejszyć rozprzestrzenianie ataku DDoS?

Stosując geograficzne rozproszenie celu ataku i wiele warstw filtrowania.

Skąd mam wiedzieć, czy jestem częścią botnetu lub kopalnią bitcoinów?

Sprawdź swój system pod kątem szkodliwego oprogramowania, ponieważ to ono jest odpowiedzialne za wykopywanie bitcoinów bez Twojej wiedzy oraz włączenie komputera do sieci botnetu. Poniżej podaję kilka najbardziej skutecznych sposobów na sprawdzenie, czy jesteś zainfekowany:

  1. Przeskanuj swój system rzetelnym rozwiązaniem antywirusowym — pozwoli to zaoszczędzić wiele czasu. Pamiętaj jednak, że automatycznie skanowanie nie daje 100% wiarygodności, więc bądź czujny.
  2. Sprawdź listę procesów w poszukiwaniu podejrzanych i niechcianych gości. Według mnie użytkownicy powinni znać wszystkie procesy działające w ich systemie na pamięć.
  3. Sprawdź listę programów uruchamianych automatycznie. Dla systemu Windows można pobrać darmową aplikację – Sysinternals Autoruns.
  4. W ostateczności możesz przeprowadzić zaawansowane sprawdzenie, które polega na połączeniu Twojego komputera z innym (połączonym z internetem) oraz rejestrowanie całego ruchu sieciowego, który przez niego przechodzi. Takie działanie powinno pokazać podejrzaną aktywność, nawet jeśli nie jest ona widoczna z poziomu zhakowanego systemu.

Więcej odpowiedzi opublikujemy wkrótce, więc zostańcie z nami!