Статьи. Монетизация Интернет ресурсов, бизнес и финансы


              Главная  
Вход Регистрация
   2   4   5   6   9   10   13   16   16   19   18  



Mayday-ботнеты.

Еще один довольно интересный, ботнет называется Mayday если использовать классификацию «Лаборатории Касперского», то это Backdoor.Win32.Mayday. Он несколько отличается технологически от своих предшественников. Свое название бот и созданная на его базе сеть получили от имени домена, к которому обращалась одна из модификаций вредоносной программы.
 
Mayday, так же, как и Storm Worm, построен на архитектуре P2P-сетей. Сразу после начала работы бот выходит на связь с указанным в теле программы сервером, регистрируется там в базе данных и скачивает себе список всех зараженных компьютеров в ботнете бот Storm Worm скачивал лишь часть списка. После этого бот устанавливает соединения типа "точка-точка" с другими программами-ботами, которые входят в зомби-сеть.
 
Всего было зафиксировано 6 различных серверов, разбросанных по всему миру в США, Великобритании, Германии, Нидерландах, с которыми боты связывались на стадии построения сети. К началу марта 2008 года работал лишь один из серверов, который контролировал около 3 тысяч компьютеров.
 
Сеть на базе Mayday никак не шифровала свой протокол передачи данных, код бота не подвергся специальной обработке, дабы усложнить его анализ антивирусами. Но, самое главное, период выхода новых версий вредоносной программы был очень большим: программа Backdoor.Win32.Mayday впервые засветилась в конце ноября 2007 года, за четыре первых месяца ее работы было зафиксировано немногим больше 20 вариантов вредоносной программы.
 
Правда, в «крике о помощи» "mayday" - аналог устаревшего «SOS», не обошлось без технологических новинок. Стоит отметить два нестандартных алгоритма, применяемых при построении этого ботнета.
 
Первое: сетевая коммуникация изначально строится на передаче ICMP-сообщений с полезной нагрузкой в 32 байта. Ни один из ботов, известных ранее, не пользовался ICMP для передачи данных.
 
Большинству пользователей межсетевой протокол управляющих сообщений Internet Control Message Protocol или ICMP знаком по утилите PING, которая использует ICMP для проверки доступности хоста в сети. Хотя функции протокола гораздо шире. Входя в стек протоколов TCP/IP данный сетевой протокол в основном используется в исключительных случаях, например, для передачи сообщений об ошибках, возникших при передаче данных. Но на ICMP возложены и некоторые сервисные функции.
 
С его помощью выполняется проверка доступности ботов и их идентификация. Т. к. Mayday ориентирован на Windows XP SP2, то после запуска он настраивает сетевой экран операционной системы так, чтобы было разрешено получение ICMP-пакетов.
 
Второе. Главной особенностью Mayday-ботнета является его центр управления.
 
Для работы C&C веб-ориентированных бот-сетей используется механизм под названием CGI Common Gateway Interface — общий шлюзовый интерфейс. Изначально было предусмотрено использование исполняемых файлов для реализации CGI на веб-серверах. Скрипт-движки появились позже. CGI-приложение служит для создания в реальном времени контента запрашиваемой пользователем веб-страницы. Тем самым обеспечивается вывод результатов работы программы вместо статических серверных данных. Скрипт CGI работает по аналогичной схеме, только для вывода результатов работы ему требуется движок интерпретатор. Обычные web-ориентированные ботнеты разрабатываются, как правило, с командными центрами, работающими на скриптах.
 
Программное обеспечение сервера Mayday представляет из себя единый без модулей исполняемый файл для Linux-системы объемом 1,2 Мб, который не нуждается в скрипт-движке. Вроде бы нет ничего необычного... Но разработка CGI-приложения гораздо сложнее создания CGI-скрипта, поскольку требует от разработчиков особых усилий для реализации надежного и стабильного кода. Ныне 99% всех разработок базируется на скрипт-движках. Исполняемые CGI-программы создаются только в случае крайней необходимости проработать все до мелочей. Такой подход, в основном, используется крупными компаниями при разработке проектов, для работы в условиях высоких нагрузок их используют, например, в веб-системах Paypal, e-Bay, Yahoo.
 
Зачем разработчикам ботнета Mayday понадобилось создавать безмодульный исполняемый файл Возможно, они намеренно хотели усложнить задачу угонщикам ботнетов, чтобы тем сложнее было исследовать, редактировать, перенастраивать и перепродавать центр управления в случае его «похищения». В любом случае структура серверной программы Mayday дает основание думать, что такая серьезная проработка управляющего ПО универсальная система классов, оптимизированный код требует организованной команды разработчиков. Причем, злоумышленникам для создания программного обеспечения Mayday-ботнета, вероятно, пришлось вести работу на две различные системы: для Linux и для Windows.
 
 
Весной 2008 года зомби-сеть на основе Mayday прекратила свое существование не было зафиксировано ни одной новой мутации червя. Кто знает, не проявится ли эта сеть снова






Похожие статьи:
Статьи Как предотвратить IP-фрагментацию?
В данной статье рассматриваются возможные варианты преодоления трудностей, возникающих в сетях при ф...
Статьи Создать сайт самостоятельно или заказать у профессионалов, чему отдать предпочтение?
В этой статье будет проанализировано, что лучше для успеха в инте...
Статьи Безопасность беспроводных сетей.
В последнее время беспроводные сети или WLAN нашл...
Статьи Проблемы IP-фрагментации.
В данной статье ...
Статьи Программы для проектирования.
Современные технологии по компьютеризации активно внедряются не то...
Статьи Особенности технического обслуживания видеонаблюдения.
Благодаря постоя...




Система сайтов PFS. Работа, бизнес и реклама. ©