Portale i blogi poświęcone tematyce bezpieczeństwa IT
w ostatnim czasie szeroko zajmowały się problemem spamu i akcji phisingowych. Laboratorium Sophos postanowiło przeprowadzić symulację ataku botnetu na pojedynczy komputer i sprawdzić, czy rzeczywiście mamy się czego obawiać.

Boty, znane użytkownikom sieci także, jako „komputery-zombie”, stanowią maszynę do robienia pieniędzy dla współczesnych cyberprzestępców i stałe zagrożenie dla zwykłych użytkowników. Sposób działania tych programów jest prosty – zamiast pobierania strony internetowej do wyświetlania, bot pobiera listę instrukcji, które wykonuje za pomocą zaatakowanego komputera i jego połączenia sieciowego.

Botmasterzy mogą dzięki temu między innymi rejestrować klawisze naciskane przez użytkownika, w celu uzyskania jego haseł internetowych, czy przeszukiwać, a następnie kraść pliki zawierające interesujące dane. Popularnym działaniem jest także pobieranie następnego złośliwego oprogramowania, na przykład typu ransomware, które szyfruje dane na komputerze użytkownika, a następnie żądanie od niego okupu za ich odblokowanie.

Spamowanie bez kosztów i bez ryzyka

Wszystkie wymienione wyżej działania to jednak tylko część szkodliwej aktywności botów, których głównym i popisowym numerem jest spamowanie. Profesjonalni spamerzy nie używają pojedynczych programów do wysyłania niechcianych wiadomości, lecz wykorzystują do swoich celów jednocześnie całą kolekcję botów, składającą się zazwyczaj z dziesiątek tysięcy komputerów zombie.

Najnowsza wersja AppSales dostępna zawsze na Programosy.pl

Wysyłanie spamu z komputerów innych użytkowników przynosi botmasterom wiele korzyści. Przede wszystkim ryzyko niepowodzenia jest znikome, gdyż nawet jeśli połowa zainfekowanych komputerów zostanie oczyszczona, druga połowa działa dalej. Ponadto wydajność botnetu jest wyższa niż pojedynczego serwera. Oszuści nie muszą również płacić za przepustowość. Wszelkie koszty pokrywają zaatakowani użytkownicy. Również oni ponoszą ryzyko ewentualnej blokady u dostawcy usług internetowych.


honeybot

Ile spamu może wygenerować botnet?

Laboratorium Sophos na Węgrzech za pomocą starannie skonfigurowanego „honeybot” postanowiło to sprawdzić. Program został skonstruowany tak, aby otrzymywać polecenia od botmasterów, generować niechciane wiadomości i je rozsyłać. Wiadomości tych Sophos nie wypuścił do internetu, tylko zablokował na specjalnie odciętym serwerze. Innymi słowy spam został stworzony i rozesłany, a następnie zamiast dotrzeć do celu został uwięziony i policzony.

Wyniki testu

Na przestrzeni jednego tygodnia, z jednego komputera zainfekowanego jednym złośliwym oprogramowaniem:

  • Zespamowano 5,5 mln adresów e-mail;
  • Wysłano 30 GB wychodzących wiadomości e-mail;
  • Wysłano 750 286 unikalnych wiadomości spamowych, z których 26% zawierało jeszcze inny, dodatkowy element złośliwego oprogramowania, a 74% zawierało linki do witryny farmaceutycznej;
  • Rozesłano 11 różnych typów złośliwego oprogramowania;
  • Użyto 3 771 różnych linków ze skróconymi adresami, które były przekierowywane przez 58 różnych zhakowanych serwerów do tej samej witryny farmaceutycznej.

Oczywiście, jeśli do ataku doszłoby w normalnych warunkach na prawdziwy domowy komputer, wynik końcowy mógłby być niższy. Część z 60 079 użytych serwerów pocztowych byłaby offline, adresy niektórych odbiorców byłyby nieważne, a limity przepustowości lub limity danych mogłyby zredukować całkowitą zdolność wysyłania. Niemniej uzyskane dane dają pewien obraz tego jak wiele szkód może wyrządzić jeden zainfekowany, podłączony do internetu komputer, zwłaszcza gdy nie jest ograniczony limitem danych.

Co to oznacza?

W oparciu o test wykonany przez Laboratorium Sophos, można łatwo obliczyć, że botnet złożony z 10 000 komputerów może wypompować 50 miliardów spamu tygodniowo. Nic, więc dziwnego, że kampanie spamowe to najłatwiejszy i najbardziej efektywny sposób „inwestowania” dla cyberprzestępców. Upowszechnianie nowego złośliwego oprogramowania używając do tego spamu nic nie kosztuje, a zapewnia ciągły rozwój sieci botów, co z kolei zapewnia botmasterowi ciągłe zyski. Nie ma sensu zatem póki co rezygnować z filtra antyspamowego i opłaca się skanować system od razu, jeśli podejrzewamy atak.

Pamiętaj, jeśli nie jesteś częścią rozwiązania, jesteś częścią problemu!

źródło: Sophos

Kan