Ботнеты оказались живее всех живых

Исследователи из Национальной лаборатории в Лос-Аламосе создали и проверили модель ботнета нового поколения. В отличие от традиционных ботнетов, где несколько центральных компьютеров контролировали множество «зомбированных» компьютеров в преступных операциях по похищению персональных данных стоимостью сотни тысяч долларов, ботнет нового поколения базируется на принципах файлообменных сетей без центрального сервера с прямыми связями между узлами.



Впервые о зарождении новой концепции ботнетов предупредил исследователь сетевых технологий Клифф Зоу (Cliff Zou) из университета Центральной Флориды. По словам Зоу, в ответ на регулярные закрытия все новых и новых ботнетов старого образца злоумышленники постепенно переходят на одноранговые «зомби»-сети нового уровня. Предположения ученого из Флориды решили проверить в Лос-Аламосской национальной лаборатории, которая работает над стратегическими оборонными проектами.

Строго говоря, специалистам уже известны действующие ботнеты, работающие на одноранговых принципах. Когда владелец такого ботнета хочет отдать какую-то команду, он передает ее в один или несколько рядовых узлов ботнета, откуда команды распространяются по всей сети. Если старые ботнеты можно было блокировать, отключив центральные серверы, то новые ботнеты почти неуязвимы к прежним методам. Для борьбы с такими новыми ботнетами властям придется глубоко внедряться в сеть и распространять фальшивые команды, файлы и сведения о соседних узлах. Кроме того, в борьбе с ботнетами нового типа необходим самый тщательный перехват коммуникаций между узлами преступной сети.

Гипотетический одноранговый ботнет, созданный в Лос-Аламосе, описан в статье, которая скоро будет опубликована в академическом журнале «Computer Networks». Группа ученых под руководством Стивена Эйденбенца (Stephan Eidenbenz) сумела построить сеть, в которой случайным образом выстраивается иерархия, а каждый узел принимает команды только от компьютеров, стоящих выше по иерархической лестнице – что-то вроде армейского принципа единоначалия. Получается, что при изъятии любого компьютера из этой сети вся система в целом сохранит работоспособность. Каждый день ботнет полностью меняет конфигурацию, так что у посторонних лиц будет совсем немного времени, чтобы отследить компьютеры высшего уровня, наносящие больше всего вреда.

В сочетании со стойкими алгоритмами шифрования новый тип ботнетов будет очень эффективным и устойчивым к анализу и атакам. С другой стороны, даже с традиционными ботнетами очень трудно бороться – их легко вводить в работу, они просты в управлении. При отключении центрального сервера его копия легко и быстро запускается на другой машине, так что сложности динамических ботнетов с постоянно меняющейся иерархией пока проигрывают простоте и дешевизне традиционных криминальных веб- технологий.


28.04.2011
http://soft.mail.ru/pressrl_page.php?id=42148
http://www.physorg.com/news/2011-04-botnets-p2p-centrally-zombie-networks.html
http://www.technologyreview.com/computing/37443/?a=f