Rustock: Král botnetů je mrtev

Existuje-li uživatel Internetu, který nikdy nepřišel do přímého styku se spamem, pak se jedná o velkého šťastlivce. Pokud totiž kdekoliv na webu umístíte svou e-mailovou adresu, můžete očekávat větší či menší záplavu nevyžádané pošty. Šíření spamu často využívají nejrůznější firmy jako cestu rychlé a levné reklamy na své produkty, výjimkou však bohužel nejsou ani spamové zprávy slibující vysokou výhru (dědictví, podíl, …) za relativně malý „manipulační poplatek“ – netřeba zdůrazňovat, že se jedná o podvodný tahák na peníze naivních důvěřivců. Podle dlouhodobých statistik se podíl spamu ve veškeré e-mailové komunikaci pohybuje kolem hranice devadesáti procent.

Spameři využívají nejrůznějších technik pro získání e-mailových adres, generováním náhodných variant počínaje a obchodu s již existujícími databázemi konče. Někde mezi tím se nacházejí různé další varianty, například populární roboti pro hledání klíčových slov na webu a dolování dostupných adres. V praxi tak takovýto robot automatizuje hledání například slova sex v Googlu a následné projití stránek. Jakmile narazí na tvar odpovídající e-mailové adrese (v pro nás nejhorším případě rovnou plný odkaz mailto), přidá výsledek do generovaného seznamu. Se seznamy e-mailů se pak dále obchoduje, a tak jde ceněný artikl.

Podíl botnetu Rustock na celkovém objemu rozesílaného spamu. Zdroj: Symantec

Jakmile je databáze e-mailů jakýmkoliv způsobem získána, zbývá už jen poslední krok, který spočívá v rozeslání milionů a miliard kopií. Dnes v této oblasti vládnou botnety, podle dřívějších statistik mají na svědomí takřka devadesát procent (v dlouhodobém průměru přes 80 %) odeslané nevyžádané pošty. Útočníci však v nedávných dnech dostali tvrdou ránu, objem spamu výrazně poklesl. Podle MessageLabs Intelligence celosvětový objem spamu klesl začátkem druhé poloviny března o 33,6 %, což byl důsledek odstavení botnetu Rustock. V prvních dnech po jeho odstavení bylo rozesíláno přibližně 33 miliard e-mailů denně, což je výrazný rozdíl oproti v průměru 52 miliardám spamu za den v předcházejí­cím týdnu.

Miliony počítačů pod kontrolou

Botnet Rustock se na výsluní mezi botnety dostal v první polovině loňského roku, kdy mu první místo nechtěně přepustil Cutwail. Stalo se tak díky počtu zotročených zombie počítačů, stejně jako stoupajícím objemem rozeslaných zpráv – v době převzetí moci se jednalo o zhruba 33 % veškeré nevyžádané pošty. Nyní, tedy přesněji před kompletním odstavením botnetu, se jeho podíl pohyboval pod padesáti procentní hranicí, denně byl odpovědný za rozeslání desítek miliard nevyžádaných e-mailů. Ve špičce dokonce Rustock odpovídal takřka za každý druhý spam.

„Teprve čas ukáže, zda se zločinci z Rustocku, který se stal jedním z techniky nejdůmyslnějších botnetů posledních let, budou schopni vzpamatovat z tohoto koordinovaného odstavení,“ říká Paul Wood, MessageLabs Intelligence Senior Analyst, Symantec.cloud. „Rustock byl významnou součástí sítě botnetů a škodlivého kódu od ledna 2006, což je mnohem déle, než byla aktivní většina jeho současníků.“

I když byl Rustock odstaven, stále zůstávají další hlavní hráči, mezi nimiž nechybí již zmíněný Cutwail, Mega-D nebo například Bahle. Všichni jsou navíc představiteli nástrojů současných organizovaných útoků. Je zapotřebí si uvědomit, že nevyžádaná pošta neslouží pouze k neškodné reklamě, kterou většina uživatelů ze spamboxu automaticky smaže, ale také jako prostředek šíření podvodných a infikovaných e-mailů, tedy potenciálním bacilonosičem.

Rozsáhlé botnety využívají miliony zotročených počítačů a stejně jako jejich menší varianty se staly žádaným zbožím. Pronájem botnetu ušetří práci nejen při nutnosti rozeslat spam, ale také v dalších hromadných útocích, typicky například DDoS. Po odstavení Rustocku bude zajímavé sledovat, jak se zvýší objem nevyžádané pošty dalších velkých botnetů, případně zda dojde k vytvoření nového, který se udrží podobně dlouhou dobu, tedy přibližně pět let.

Pokles rozesílání spamu po odstavení Rustocku. Zdroj: Symantec

Pronajmu botnet, zn. levně

Budování botnetů z velké části využívá lavinového efektu a především přílišné důvěry uživatelů. Útočníci jen v malé míře používají k získání většího počtu počítačů pod svou kontrolu profesionální útoky, jimiž by zotročili stovky nebo tisíce strojů ve vybrané podsíti některým sofistikovaným síťovým útokem. Raději volí snazší cestu – přimějí koncové uživatele, aby si pod různou záminkou sami nainstalovali vybraný malware, který pak jejich počítače promění v časovanou, vzdáleně ovládanou bombu.

Typický scénář vypadá tak, že útočníci hromadně osloví velké množství uživatelů, například nabídkou falešného antiviru, některého vtipného prográmku, různého nástroje zdarma apod. Jednou z možností je samozřejmě rozeslání spamu s odpovídajícími přílohami/nebez­pečnými odkazy, přičemž postačí, aby se nachytal jen zlomek z celkového množství obeslaných. Klíčovou roli zde oproti destruktivnímu škodlivému kódu hraje co možná nejmenší nápadnost, a tak nabídnutý program nebo odkazovaná stránka na první pohled nevypadá podezřele, třebas i opravdu nabídne stažení požadované kusu softwaru. Nicméně právě v něm bývá ukryt trojský kůň, který se nijak neprojeví, jen v systému potichoučku čeká na příkazy svého vzdáleného tvůrce.

Schéma tvorby a zneužití botnetu. Zdroj: Tom-b, Wikimedia Commons

       

Jakmile je vybudována základní armáda těchto zombie počítačů, může útočník efekt zesílit – napadené stroje využije k dalšímu rozšíření svého škodlivého kódu a získá tak pod svou kontrolu další stroje. V ideálním případě může botnet narůstat exponenciální rychlostí, což je také jedním z důvodů rychlého zvyšování počtu napadených počítačů. Pokud je trojský kůň nebo jiný technika získávání počítačů dostatečně propracovaná, nemají uživatelé stále tušení o zneužití svého počítače. Po vybudování dostatečně silné armády se botnet pro tvůrce (v praxi početnější organizované skupiny) dostává na trh, za úplatu si je zájemci mohou pronajmout, například k rozeslání spamu nebo konkrétním útokům.

I když byl Rustock tvrdě zasažen, nelze očekávat, že útočníci ze svého snažení poleví. Botnety a s nimi spojené problémy se staly nedílnou součástí současného světa síťové bezpečnosti, budeme se s nimi a s jejich následky setkávat stále dokola. Proti konkrétním variantám škodlivého kódu, který jim odpovídá, ochrání antivir a případně firewall pro omezení a filtrování síťové komunikace, nicméně nejdůležitější je použití zdravého rozumu – vybudovat si pomyslný proaktivní filtr ve své hlavě, dvakrát myslet, teprve poté klikat.