Festi

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 12. února 2021; kontroly vyžadují 3 úpravy .

Festi  — руткит и ботнет , созданный на его базе. Работает под операционными системами семейства Windows. Первый раз festi попал в поле зрения компаний, зани п п п п п п п п п 2 ] По оценкам того времени ботнет ключал с себя примерно 25.000 зараженных д 14 к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к . Наибольшую активность Festi проявлял в 2011—2012 годах [6] [7] . Более свежие оценки, датированные августом 2012 года, отражают тот факт, что ботнет слал спам с 250.000 уникальных IP-адресов, что составляет четверть от миллиона адресов, с которых осуществляется рассылка всего спама в мире [8] . Основная функциональность ботнета Festi — это рассылка спама и осуществление » атак типревой « рассылка спама и осуществление » типревна « рассылка спама

Způsoby distribuce

Distribuce se provádí pomocí schématu PPI [10] (PAY-Per-ONSTALL). Aby se zabránilo detekci antiviru, bootloader se šíří v zašifrované [10] podobě, což komplikuje vyhledávání signatur .

Architektura

Все данные об архитектуре ботнета мы почерпнули из исследований антививирусной кои12п [ 1 ] SET [ 10] SET Загрузчик скачивает и устанавливает бота , который представляет собой драйвер режима ядра , который добавляет себя в список драйверов , запускающихся вместе с операционной системой. На жестком диске хранится лишь часть бота, отвечающая за связь с команземгруринзейгоринденым После старта бот периодически обращается командному ценgle д д к з з з з з з з з з з з з з з з з з з з з з з з з з д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д д

Moduly

Из исследований, проведенных специалистами антивирусной компании ESET, известноа, мемнтодино, мемной компании ESET Один из них предназначается для спама (botspam.dll), другой д р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р р Модуль для осуществления атак типа «распределённый отказ в обслуживании» поддерживает следующие виды атак, а именно: TCP-флуд, UDP-флуд, DNS-флуд, HTTP(s)-флуд, а также флуд пакетами со случайным числом в номере используемого протокола.

Эксперт из « лаборатории касперского », ис už jen б б б т т б б б б б б б б б б б б б б б б б б б б б б б б б б б б б б. Их список включает в себя модуль для реализации socks-сервера (BotSocks.dll) с протоколами TCP и UDP, модуль для удаленного просмотра и управления компьютером пользователя (BotRemote.dll), модуль реализовывающий поиск по диску удаленного компьютера и локальной сети (BotSearch.dll ), к которой удаленный компьютер подключен, модули-грабберы для всехдпьютер подключен, модули-грабберы для всехдпьютер подключен, модули-грабберы).

Модули никогда не сохраняются на жестком диске, что делает практических невоземожневоземожневоземожневоземожневоземожневоземожневоземожневозеруможневоземожневой

Бот использует клиент-серверную технологию и для функционирования реализовывает собственный протокол сетевого взаимодействия с командным центром, который используется для получения конфигурации ботнета, загрузки модулей, а также для получения заданий от командного центра и оповещения командного центра об их выполнении. Данные шифруются, что препятствует определению содержимого сетевого трафика.

При установке бот отключает системный брандмауэр , прячет свой драйвер режима ядра и ключи системного реестра , необходимые для загрузки и работы, защищает себя и ключи реестра от удаления. Работа с сетюю происходит на низком уровне, что позволяете ооотеотеотеотеотеотет г с с с с hroznictví а фnkce а !! Ведётся наблюдение за использованием сетевых фильтров, чтобы воспрепятьтвеваватятнием Бот проверяет, запущщен ли он поčovy в м машиной, с už с с jíma Festi периодически проверяет наличие отладчика a умеет снимать точки останова .

Festi создан с использованием объектно-ориентированной технологии разработки программного обеспечения, что сильно затрудняет исследования методом обратной разработки и делает бота легко переносимым на другие операционные системы.

Management

Все управление ботнетом Festi реализовано при помощи веб-интерфейса и осуществляетреЏ осуществляетрея

По информации специалистов антивирусной компании ESET [12] , американского журналиста и блогера, специалиста в области информационной безопасности Брайана Кребса [13] , по информации американского журналиста газеты The New York Times Андрю Крамера [14] , а также из источников близких к российским спецслужбам архитектор и разработчик ботнета Festi — российский хакер Игорь Артимович .

Závěr

В заключении можно сказать, что ботнет Festi являлся одним из самых мощных ботнетов для рассылки спама и проведения атак типа «распределённый отказ в обслуживании». Принципы, по которым построен ботнет Festi, максимально увеличивают время жизни бота в системе, препятствуют обнаружению бота антивирусным программным обеспечением и сетевыми фильтрами. Механизм модулей позволяет расширять функциональность ботнета в любую сторону за счет создания и загрузки необходимых модулей для достижения различных целей, а объектно-ориентированный подход к разработке затрудняет исследование ботнета с использованием способов обратной разработки и дает возможность переноса бота на другие операционные системы за счет четкого разграничения специфичной для конкретной операционной системы функциональности и остальной логики бота. Мощные системы противодействия обнаружению a отладке делают бота Festi практическимне Система привязок и исползования командных центров даноовлол р к п с с с с к к к к к к к к к к к к к к к к к к к к к к к к к к к к к к. Festi является нетип užны ještě moje Можно смело сказать, что бот Festi — шедевр среди вредоносного программного ] обес1пе .

Viz také

Poznámky

  1. Lewis, Daren Festi Botnet se roztočí a stane se jedním z hlavních spamovacích botnetů . Symantec Connect (5. listopadu 2009). Datum konání: 4. декабря 2013. Архивировано 18. dubna 2018 года.
  2. Datum přístupu: 4. prosince 2013. Archivováno z originálu 4. března 2016.
  3. Jackson Higgins, Kelly Nový spamovací botnet na vzestupu – temné čtení . darkreading (6. listopadu 2009). Datum aktualizace: 15. декабря 2013. Архивировано 7. dubna 2012 года.
  4. Wattanajantra, Asavin 'Festi' roste a stává se spambotem těžké váhy . ITPRO (6. listopadu 2009). Datum konání: 4. декабря 2013. Архивировано 18. dubna 2018 года.
  5. Botnet Festi Rising Extrémně (недоступная ссылка) . SPAMfighter (18. listopadu 2009). Datum aktualizace: 4. декабря 2013. Архивировано 21. декабря 2014 года. 
  6. Kirk, Jeremy Spamhaus prohlašuje Grum Botnet za mrtvého, ale Festi přerůstá . Svět PC (16. srpna 2012). Datum aktualizace: 4. декабря 2013. Архивировано 1. июля 2015 года.
  7. Datum přístupu: 4. prosince 2013. Archivováno z originálu 15. prosince 2013.  
  8. Saarinen, botnet Juha Festi zvyšuje objemy spamu . ITNews (20. srpna 2012). Datum aktualizace: 4. декабря 2013. Архивировано 30. июня 2015 года.
  9. 1 2 3 Matrosov, Aleksandr King of Spam: Festi botnet analýza . ESET (11. května 2012). Datum konání: 4. декабря 2013. Архивировано 18. dubna 2018 года.
  10. Archivováno z originálu 15. prosince 2013.  
  11. Archivováno z originálu 15. prosince 2013.
  12. .
  13. Kramer, Andrew Online útok vede k nahlédnutí do spamového doupěte . The New York Times (2. září 2013). Datum konání: 28. сентября 2017. Архивировано 18. dubna 2018 года.
  14. Datum přístupu: 15. prosince 2013. Archivováno z originálu 15. prosince 2013.

Odkazy

 Botnety