Oι ερευνητές ασφάλειας της Kaspersky σήμαναν συναγερμό για την ύπαρξη ενός νέου botnet το οποίο είναι σχεδόν άτρωτο, όπως χαρακτηριστικά το αποκαλεί ο Sergey Golovanov, στέλεχος της εταιρείας. Το νέο botnet με την ονομασία TDL-4 αποτελεί την τέταρτη γενιά του γνωστού από το 2008 botnet ΤDL και έχει μολύνει, σύμφωνα με τα στοιχεία του πρώτου τριμήνου του 2011, 4.5 εκατομμύρια υπολογιστές Windows.
Τόσο ο Sergey Golovanov όσο και ο Joe Stewart βγάζουν τα συμπεράσματα τους από την τρομακτική δυσκολία που αντιμετώπισαν προκειμένου να εντοπίσουν, να σβήσουν ή να το απενεργοποιήσουν. Το TDL-4 προσβάλει με κατάλληλο rootkit το MBR (master boot record) του υπολογιστή. To ΜΒR αποτελεί το πρώτο sector του σκληρού δίσκου (sector 0), εκεί όπου υπάρχει ο κώδικας για την αρχική εκκίνηση του λειτουργικού συστήματος μετά τους πρώτους ελέγχους του BIOS. Aκριβώς επειδή το TDL-4 εγκαθιστά το rootkit στο MBR είναι πλέον αόρατο από το λειτουργικό σύστημα ή ακόμα χειρότερα από το λογισμικό προστασίας του υπολογιστή. Όμως δεν είναι αυτό το φοβερό μυστικό του TDL-4.
Aυτό που πραγματικά το κάνει άτρωτο είναι ο συνδυασμός της κρυπτογράφησης και της χρήσης δημοσίων δικτύων P2P για τον χειρισμό του από command-and-control (C&C) servers.
Η αποστολή ενός botnet όπως το TDL-4 είναι η εγκατάσταση ξένου λογισμικού στον υπολογιστή, η ενοικίαση του σε τρίτους, η διενέργεια επιθέσεων DDoS και η χρήση του για spammign και phishing.
Πηγή: Computerworld και Techspot
www.adslgr.com
"Δεν θα έλεγα πως είναι απολύτως άτρωτο, αλλά πως είναι αρκετά άτρωτο", δήλωσε ο Joe Stewart από την εταιρεία Dell SecureWorks, γνωστός και ως ειδικός σε θέματα botnet.
"Είναι πολύ αποτελεσματικό ...στο να συντηρεί τον εαυτό του."
Aυτό που πραγματικά το κάνει άτρωτο είναι ο συνδυασμός της κρυπτογράφησης και της χρήσης δημοσίων δικτύων P2P για τον χειρισμό του από command-and-control (C&C) servers.
"Ο τρόπος με τον οποίο η μεθοδολογία peer-to-peer χρησιμοποιείται στην περίπτωση του TDL-4, το κάνει πολύ δύσκολο να τερματιστεί η λειτουργία του", δηλώνει ο Roel Schouwenberg, ο οποίος έχει μεγάλη πείρα σε θέματα καταστροφής botnets.Ο Golovanov προσθέτει πως οι δημιουργοί του TDL-4 χρησιμοποίησαν δικό τους αλγόριθμο κρυπτογράφησης και χρησιμοποιούν ως κλειδιά τα domain ονόματα των C&C servers. Επίσης ένα από τα δύο κανάλια επικοινωνίας των μολυσμένων PC και των χειριστών του botnet είναι το Kad P2P δίκτυο, ενώ σε προηγούμενες περιπτώσεις χρησιμοποιούσαν ιδιωτικά (κλειστά) δίκτυα P2P. Η χρήση του δημόσιου P2P τους προστατεύει από τους κινδύνους της απενεργοποίησης του botnet.
"Kάθε φορά που ένα botnet απενεργοποιείται, ανεβαίνει ο πήχης για το επόμενο", σημειώνει χαρακτηριστικά.
"Όποια προσπάθεια και αν γίνει για να απενεργοποιηθούν οι C&C, μπορεί αποτελεσματικά να αντιμετωπιστεί με την ανανέωση της λίστα των C&C μέσω του P2P δικτύου", εξηγεί ο Schouwenberg.Το TDL-4, συνδυάζοντας το rootkit, την κρυπτογράφηση, τα κανάλια επικοινωνίας μέσω p2p, καθώς και την δυνατότητα να απενεργοποιήσει άλλο κακόβουλο λογισμικό όπως το Zeus, καθίσταται τρομακτικά ανθεκτικό.
"Το γεγονός πως το TDL-4 έχει δύο κανάλια επικοινωνίας θα κάνει πολύ-πολύ δύσκολη την απενεργοποίηση του."
"Το ΤDL είναι μία επιχείρηση και ο στόχος του είναι να μένει όσο γίνεται περισσότερο μέσα στον υπολογιστή", δηλώνει ο Joe Stewart.O Joe Stewart υπογραμμίζει επιπλέον την σημασία της δυνατότητας που έχει το TDL-4 να απενεργοποιεί άλλα κακόβουλα λογισμικά, η ύπαρξη των οποίων καθιστά πιο ύποπτο έναν υπολογιστή.
Η αποστολή ενός botnet όπως το TDL-4 είναι η εγκατάσταση ξένου λογισμικού στον υπολογιστή, η ενοικίαση του σε τρίτους, η διενέργεια επιθέσεων DDoS και η χρήση του για spammign και phishing.
Πηγή: Computerworld και Techspot
www.adslgr.com