Festi er et rootkit og botnet baseret på det. Fungerer under operativsystemer i Windows-familien. Festi blev først opmærksom på virksomheder involveret i udvikling og salg af antivirusprogrammer i efteråret 2009 [1] [2] . Det blev på det tidspunkt anslået, at botnettet omfattede cirka 25.000 inficerede maskiner og udsendte cirka 2,5 milliarder e-mails hver dag [3] [4] [5] . Festi var mest aktiv i 2011-2012 [6] [7] . Nyere estimater fra august 2012 afspejler det faktum, at botnettet spammede fra 250.000 unikke IP-adresser, en fjerdedel af den million adresser, der sender al spam i verden [8] . Festi -botnettets hovedfunktion er at sende spam og udføre distribuerede lammelsesangreb .
Fordelingen udføres ved hjælp af PPI-skemaet [10] (Pay-Per-Install). For at forhindre detektion af antivirus, distribueres bootloaderen i en krypteret form [10] , hvilket gør det vanskeligt at udføre signatursøgninger .
Vi fik alle data om botnet-arkitekturen fra antivirusfirmaet ESETs forskning [10] [11] [12] . Bootloaderen downloader og installerer en bot , som er en kernetilstandsdriver, der føjer sig selv til listen over drivere , der starter med operativsystemet. Kun en del af botten er gemt på harddisken, som er ansvarlig for at kommunikere med kommandocentret og indlæse moduler. Efter starten får botten periodisk adgang til kommandocentret for at få den konfiguration, indlæse moduler og opgaver, der er nødvendige for udførelse.
Fra forskning udført af specialister fra antivirusfirmaet ESET ved man, at Festi har mindst to moduler. En af dem er beregnet til at sende spam (BotSpam.dll), den anden til at udføre distribuerede lammelsesangreb (BotDoS.dll). Det distribuerede denial of service-angrebsmodul understøtter følgende typer angreb, nemlig: TCP-flood, UDP-flood, DNS-flood, HTTP(s)-flood og packet-flood med et tilfældigt tal i det anvendte protokolnummer.
En ekspert fra Kaspersky Lab , der undersøgte botnettet, konkluderede, at der er flere moduler, men ikke alle bliver brugt. Deres liste indeholder et modul til implementering af en socks-server (BotSocks.dll) med TCP- og UDP-protokoller, et modul til fjernvisning og styring af en brugers computer (BotRemote.dll), et modul, der implementerer søgning på en fjerncomputers disk og lokale netværk (BotSearch.dll ), som fjerncomputeren er forbundet til, gribemoduler til alle aktuelt kendte browsere (BotGrabber.dll).
Moduler gemmes aldrig på harddisken, hvilket gør dem næsten umulige at opdage.
Botten bruger klient-server- teknologi og implementerer sin egen protokol for netværksinteraktion med kommandocentret for at fungere, som bruges til at modtage botnet-konfigurationen, downloade moduler og også til at modtage opgaver fra kommandocentret og underrette kommandocentret om deres færdiggørelse. Dataene er krypteret, hvilket forhindrer indholdet af netværkstrafikken i at blive bestemt.
Når den er installeret, deaktiverer botten systemets firewall , skjuler dens kernel-mode driver og systemregistreringsnøgler , der er nødvendige for at indlæse og arbejde, beskytter sig selv og registreringsdatabasenøgler mod sletning. Netværk er lavt niveau, hvilket giver dig mulighed for nemt at omgå netværksfiltrene i antivirussoftware. Brugen af netværksfiltre overvåges for at forhindre installation af dem. Botten tjekker, om den kører under en virtuel maskine , i tilfælde af et positivt resultat af kontrollen, stopper den sin aktivitet. Festi tjekker med jævne mellemrum for tilstedeværelsen af en debugger og ved, hvordan man fjerner breakpoints .
Festi er bygget ved hjælp af objektorienteret softwareudviklingsteknologi, hvilket gør det meget vanskeligt at reverse engineering forskning og gør botten let portabel til andre operativsystemer.
Al administration af Festi-botnettet implementeres ved hjælp af en webgrænseflade og udføres via en browser.
Ifølge eksperter fra antivirusfirmaet ESET [12] , amerikansk journalist og blogger, informationssikkerhedsspecialist Brian Krebs [13] , ifølge den amerikanske journalist fra The New York Times avis Andrew Kramer [14] , samt fra kilder tæt på de russiske specialtjenester, arkitekten og udvikleren af Festi-botnettet, den russiske hacker Igor Artimovich .
Afslutningsvis kan vi sige, at Festi-botnettet var et af de mest kraftfulde botnets til at sende spam og udføre distribuerede lammelsesangreb. De principper, som Festi-botnettet er bygget efter, maksimerer levetiden for botten i systemet og forhindrer botten i at blive opdaget af antivirussoftware og netværksfiltre. Modulmekanismen giver dig mulighed for at udvide funktionaliteten af botnettet i enhver retning ved at oprette og indlæse de nødvendige moduler for at opnå forskellige mål, mens den objektorienterede tilgang til udvikling gør det vanskeligt at studere botnettet ved hjælp af reverse engineering metoder og gør det muligt at portere botten til andre operativsystemer på grund af en klar skelnen mellem specifik for specifik operativsystemfunktionalitet og resten af botlogikken. Kraftige anti-detektions- og fejlfindingssystemer gør Festi-boten praktisk talt usynlig og usårbar. Systemet med bindinger og brugen af reservekommandocentre gør det muligt at genvinde kontrollen over botnettet efter en ændring i kommandocentralen. Festi er ikke en typisk forekomst af malware , da forfatterne tog udviklingsprocessen meget alvorligt. Vi kan roligt sige, at Festi-bot er et mesterværk blandt ondsindet software [15] .
Botnets | |
---|---|
|
Hackerangreb fra 2000'erne | |
---|---|
Største angreb | |
Grupper og fællesskaber af hackere | |
enlige hackere | |
Opdaget kritiske sårbarheder | |
Computervirus |
|
1990'erne • 2000'erne • 2010'erne |