Festi

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 12. februar 2021; checks kræver 3 redigeringer .

Festi  er et rootkit og botnet baseret på det. Fungerer under operativsystemer i Windows-familien. Festi blev først opmærksom på virksomheder involveret i udvikling og salg af antivirusprogrammer i efteråret 2009 [1] [2] . Det blev på det tidspunkt anslået, at botnettet omfattede cirka 25.000 inficerede maskiner og udsendte cirka 2,5 milliarder e-mails hver dag [3] [4] [5] . Festi var mest aktiv i 2011-2012 [6] [7] . Nyere estimater fra august 2012 afspejler det faktum, at botnettet spammede fra 250.000 unikke IP-adresser, en fjerdedel af den million adresser, der sender al spam i verden [8] . Festi -botnettets hovedfunktion er at sende spam og udføre distribuerede lammelsesangreb .

Distributionsmåder

Fordelingen udføres ved hjælp af PPI-skemaet [10] (Pay-Per-Install). For at forhindre detektion af antivirus, distribueres bootloaderen i en krypteret form [10] , hvilket gør det vanskeligt at udføre signatursøgninger .

Arkitektur

Vi fik alle data om botnet-arkitekturen fra antivirusfirmaet ESETs forskning [10] [11] [12] . Bootloaderen downloader og installerer en bot , som er en kernetilstandsdriver, der føjer sig selv til listen over drivere , der starter med operativsystemet. Kun en del af botten er gemt på harddisken, som er ansvarlig for at kommunikere med kommandocentret og indlæse moduler. Efter starten får botten periodisk adgang til kommandocentret for at få den konfiguration, indlæse moduler og opgaver, der er nødvendige for udførelse.

Moduler

Fra forskning udført af specialister fra antivirusfirmaet ESET ved man, at Festi har mindst to moduler. En af dem er beregnet til at sende spam (BotSpam.dll), den anden til at udføre distribuerede lammelsesangreb (BotDoS.dll). Det distribuerede denial of service-angrebsmodul understøtter følgende typer angreb, nemlig: TCP-flood, UDP-flood, DNS-flood, HTTP(s)-flood og packet-flood med et tilfældigt tal i det anvendte protokolnummer.

En ekspert fra Kaspersky Lab , der undersøgte botnettet, konkluderede, at der er flere moduler, men ikke alle bliver brugt. Deres liste indeholder et modul til implementering af en socks-server (BotSocks.dll) med TCP- og UDP-protokoller, et modul til fjernvisning og styring af en brugers computer (BotRemote.dll), et modul, der implementerer søgning på en fjerncomputers disk og lokale netværk (BotSearch.dll ), som fjerncomputeren er forbundet til, gribemoduler til alle aktuelt kendte browsere (BotGrabber.dll).

Moduler gemmes aldrig på harddisken, hvilket gør dem næsten umulige at opdage.

Netværk

Botten bruger klient-server- teknologi og implementerer sin egen protokol for netværksinteraktion med kommandocentret for at fungere, som bruges til at modtage botnet-konfigurationen, downloade moduler og også til at modtage opgaver fra kommandocentret og underrette kommandocentret om deres færdiggørelse. Dataene er krypteret, hvilket forhindrer indholdet af netværkstrafikken i at blive bestemt.

Beskyttelse mod detektering og fejlretning

Når den er installeret, deaktiverer botten systemets firewall , skjuler dens kernel-mode driver og systemregistreringsnøgler , der er nødvendige for at indlæse og arbejde, beskytter sig selv og registreringsdatabasenøgler mod sletning. Netværk er lavt niveau, hvilket giver dig mulighed for nemt at omgå netværksfiltrene i antivirussoftware. Brugen af ​​netværksfiltre overvåges for at forhindre installation af dem. Botten tjekker, om den kører under en virtuel maskine , i tilfælde af et positivt resultat af kontrollen, stopper den sin aktivitet. Festi tjekker med jævne mellemrum for tilstedeværelsen af ​​en debugger og ved, hvordan man fjerner breakpoints .

Objektorienteret tilgang til udvikling

Festi er bygget ved hjælp af objektorienteret softwareudviklingsteknologi, hvilket gør det meget vanskeligt at reverse engineering forskning og gør botten let portabel til andre operativsystemer.

Ledelse

Al administration af Festi-botnettet implementeres ved hjælp af en webgrænseflade og udføres via en browser.

Hvem står bag Festi

Ifølge eksperter fra antivirusfirmaet ESET [12] , amerikansk journalist og blogger, informationssikkerhedsspecialist Brian Krebs [13] , ifølge den amerikanske journalist fra The New York Times avis Andrew Kramer [14] , samt fra kilder tæt på de russiske specialtjenester, arkitekten og udvikleren af ​​Festi-botnettet, den russiske hacker Igor Artimovich .

Konklusion

Afslutningsvis kan vi sige, at Festi-botnettet var et af de mest kraftfulde botnets til at sende spam og udføre distribuerede lammelsesangreb. De principper, som Festi-botnettet er bygget efter, maksimerer levetiden for botten i systemet og forhindrer botten i at blive opdaget af antivirussoftware og netværksfiltre. Modulmekanismen giver dig mulighed for at udvide funktionaliteten af ​​botnettet i enhver retning ved at oprette og indlæse de nødvendige moduler for at opnå forskellige mål, mens den objektorienterede tilgang til udvikling gør det vanskeligt at studere botnettet ved hjælp af reverse engineering metoder og gør det muligt at portere botten til andre operativsystemer på grund af en klar skelnen mellem specifik for specifik operativsystemfunktionalitet og resten af ​​botlogikken. Kraftige anti-detektions- og fejlfindingssystemer gør Festi-boten praktisk talt usynlig og usårbar. Systemet med bindinger og brugen af ​​reservekommandocentre gør det muligt at genvinde kontrollen over botnettet efter en ændring i kommandocentralen. Festi er ikke en typisk forekomst af malware , da forfatterne tog udviklingsprocessen meget alvorligt. Vi kan roligt sige, at Festi-bot er et mesterværk blandt ondsindet software [15] .

Se også

• Botnets
• Ondsindet software
• cyberkrig

Noter

1. ↑ Lewis, Daren Festi Botnet spinner op og bliver et af de vigtigste spamming-botnets . Symantec Connect (5. november 2009). Hentet 4. december 2013. Arkiveret fra originalen 18. april 2018. (ubestemt)
2. ↑ Kaplan, Dan Festi botnet vises . SC Magazine (6. november 2009). Dato for adgang: 4. december 2013. Arkiveret fra originalen 4. marts 2016. (ubestemt)
3. ↑ Jackson Higgins, Kelly New Spamming Botnet On The Rise - Dark Reading . darkreading (06. november 2009). Hentet 15. december 2013. Arkiveret fra originalen 7. august 2012. (ubestemt)
4. ↑ Wattanajantra, Asavin 'Festi' vokser til at blive en spambot-sværvægter . ITPRO (6. november 2009). Hentet 4. december 2013. Arkiveret fra originalen 18. april 2018. (ubestemt)
5. ↑ Botnet Festi stiger enormt (downlink) . SPAMfighter (18. november 2009). Dato for adgang: 4. december 2013. Arkiveret fra originalen 21. december 2014. (ubestemt) 
6. ↑ Kirk, Jeremy Spamhaus erklærer Grum Botnet død, men Festi stiger . PC World (16. august 2012). Hentet 4. december 2013. Arkiveret fra originalen 1. juli 2015. (ubestemt)
7. ↑ Kirk, Jeremy Spamhaus erklærer Grum botnet død, men Festi stiger (link utilgængeligt) . PC Advisor (17. august 2012). Dato for adgang: 4. december 2013. Arkiveret fra originalen 15. december 2013. (ubestemt) 
8. ↑ Saarinen, Juha Festi botnet skruer op for spammængderne . ITNews (20. august 2012). Hentet 4. december 2013. Arkiveret fra originalen 30. juni 2015. (ubestemt)
9. ↑ 1 2 3 Matrosov, Aleksandr King of Spam: Festi botnet-analyse . ESET (11. maj 2012). Hentet 4. december 2013. Arkiveret fra originalen 18. april 2018. (ubestemt)
10. ↑ Rodionov, Eugene Festi botnetanalyse og undersøgelse (utilgængeligt link) . ESET (2011). Arkiveret fra originalen den 15. december 2013. (ubestemt) 
11. ↑ 1 2 Matrosov, Aleksandr Festi Botnet-analyse og undersøgelse . AVAR 2012 (12.-14. november 2012). Arkiveret fra originalen den 15. december 2013. (ubestemt)
12. ↑ Krebs, Brian Hvem er 'Festi' Botmaster? . Krebs om sikkerhed (12. juni 2012). Hentet 4. december 2013. Arkiveret fra originalen 18. april 2018. (ubestemt)
13. ↑ Kramer, Andrew Onlineangreb fører til at kikke ind i spamhulen . The New York Times (2. september 2013). Hentet 28. september 2017. Arkiveret fra originalen 18. april 2018. (ubestemt)
14. ↑ Festi: ondsindet og ulegemlig . Xakep Magazine (september 2012). Dato for adgang: 15. december 2013. Arkiveret fra originalen 15. december 2013. (ubestemt)

Links

• Top 10 botnets og deres indvirkning, 9. december 2009, Top 10 botnets og deres indvirkning, Help Net Security
• Top 10 'mest eftersøgte' spam-udspyende botnet Rustock, Mega-D, Festi, Pushdo blandt de værste botnet-forbrydere, 15. juli 2010, Ellen Messmer, Network World
• Festi botnet brugt i DDoS-angreb på Aeroflot, 18. juli 2012, SecureLab  (utilgængeligt link)
• The New Era of Botnets, hvidbog
• Festi botnet tager over efter Grum-lukningen, 17. august 2012, ComputerWorld UK
• Spam botnets: The Fall of Grum and the rise of Festi, 16. august 2012, Thomas Morrison, SPAMHAUS
• Spamhaus: Grum Dead, Festi Alive and Well 22. august 2012, Malcolm James, All Spammed Up
• The Global Botnet Threat, 14. november 2012, MacAfee

Botnets
Akbot Asprox Bagle BASHLIT Bredolab carna Conficker Cutwail donbot Dridex Festi Gameover ZeuS Grum Gumblar Kelihos Koobface Kraken Lethic Mariposa Mega D Meris Metulji Mirai Necurs Nitol Rustock Salitet SpyEye Srizby StarDust Storm TDL-4 Torpig Virut Vulcanbot Waledac Nul adgang Zeus
Se også: Malbot Betjening: Bot Roast Malware Dosnet netværksorm

Hackerangreb fra 2000'erne
Største angreb	Operation Bot Roast Operation Red October Projekt "Kanologi" titanium regn
Grupper og fællesskaber af hackere	Anonym Enhed 61398 (PLA)
enlige hackere	Dmitry Sklyarov
Opdaget kritiske sårbarheder	Splintrede angreb
Computervirus	Agent.BTZ Anna Kournikova Asprox Bagdør.Win32.Sinoval Bagle Blaster Bredolab Cabir Careto kode rød Kode Rød II Commwarrior Conficker Cutwail donbot Festi Fizzer JEG ELSKER DIG Klez Koobface Kraken Mariposa Mega D Metulji Mocmex mydoom mytob Neshta netsky NetTraveler Nimda Penetrator At klemme Efeu RFID-virus Rustock Salitet Santy Sasser ædru Så stor SpyEye SQL Slammer Srizby Storm Orm Torpig Virut Vulcanbot Waledac Nul adgang Zeus Zobot
1990'erne • 2000'erne • 2010'erne