Қазақстанда шабуыл жасайтын танымал ботнеттер

Толығырақ: http://www.kz-cert.kz/page/596

Зиянкестер бүгінгі күні оларға корпоративтік немесе мемлекеттік желіні ескермеуге мүмкіндік беретін әртүрлі шабуыл жасау құралдарын пайдаланады. Зиянкестер көптеген ботнеттердің көмегімен:

  • спам таратуды;
  • фишингті;
  • кибер бопсалауды;
  • құпия деректерді ұрлауды жүзеге асырады.

Ботнетбұл зиянкестерге басқа біреудің компьютерлерін олардың иеленушілерінің келісімінсіз қашықтықтан басқаруға мүмкіндік беретін зиянды бағдарламамен зақымдалған компьютерлер желісі. Бұл ретте ботнеттер шешуге қабілетті міндеттер әртүрлі болады: электрондық поштаның есептік деректерін кейін спамдар тарату үшін жинау түріндегі классикалық және әбден зиянсыздардан бастап банктік шоттар туралы ақпаратты ұрлау мен коммерциялық шпионажға дейін.

Қазақстанда соңғы уақытта ботнеттер өте ірі интернет-ресурстарға DDOS – шабуылдар жасау үшін пайдаланылады. Қазақстанның интернет-ресурстарына шабуыл жасайтын 4 танымал ботнет пен олардың сипаттамалары.

H-worm

  • AAEH
  • Andromeda
  • njRAT

Andromeda ботнеті

Andromeda ботнеті біздің рейтингіде 4 орында, Win32/ Camarue ретінде белгілі. Оған командалық жол (C&C) сервисі беретін командаға байланысты түрлі мүмкіндіктері бар зиянды БҚ-ны таратуға жиі пайдаланылады. Microsoft .NET платформасында әзірленді.

Andromeda ботнетімен зақымдалған жүйе зиянды бағдарламалық қамтылымды тарату, құрбанның компьютеріне қажет болған жағдайда жаңарту мен жою функциялары бар әртүрлі файлдарды жүктеу және орындау үшін пайдаланылуы мүмкін.

njRAT ботнеті

njRAT ботнеті рейтингіде 3 орынды иеленді және қашықтықтан қол жеткізу аспапбы болып табылатын Bladabindi ретінде белгілі. Зақымдалған жүйені толық бақылауға алуды қамтамасыз ететін және зиянкестерге қашықтықтан басқару үшін көптеген функциялар беретін .NET платформасын пайдалана отырып әзірленді. njRAT серверлерді басқару үшін динамикалық DNS-ті пайдаланады және күйге келтірілетін порт арқылы күйге келтірілетін TCP хаттамасын пайдаланып, деректер алмасуды жүргізеді.

NjRAT зиянкеске зақымдалған жүйеде мынадай іс-қимылдарды қашықтықтан орындауға мүмкіндік береді:

  • Файлдық жүйені өзгертулер.
  • Файлдарды жүктеу мен жою.
  • Веб –камераларға қол жеткізу.
  • Микрофонға қол жеткізу.
  • Пайдаланушының бірнеше қосымшаларға арналған есеп жазбаларын алу.

AAEH ботнеті

ААЕH ботнеті W32/ Worm-AAEH, VObfus, VBObfus, Beebone ретінде белгілі. Желілер, алмалы дискілер (USB / CD / DVD) мен ZIP және RAR архивтері бойынша жиі таратылады. Аталған ботнет Zbot, Necurs және ZeroAccess парольдерін ұрлауға арналған бағдарламалық қамтылымды қоса алғанда, басқа зиянды бағдарламалық қамтылымды жүктеуді оңайлатады.

AAEH ботнетімен зақымдалған жүйе зиянды бағдарламалық қамтылымды тарату, банктік қызметтер мен кейінгі уақытта файлдарды оқуға жарамды қалпына келтіру үшін ақы төлеуді талап ете отырып, пайдаланушылардан шифрлаушы вирус арқылы ақшаны күшпен алуды қоса алғанда, пайдаланушылардың онлайн-сервистерге арналған есеп жазбаларын жинау үшін пайдаланылуы мүмкін. AAEH Интернеттің қауіпсіздік компанияларымен байланысты IP-мекенжайларымен қосылуларды бұғаттап және зақымдалған компьютерлерде вирусқа қарсы құралдардың іске қосылуына жол бермей, вирусқа қарсы бағдарламалық өнімдерді жеңуге қабілетті.

H-worm ботнеті

Соңында, NjRAT бастапқы кодынан шығарылатын Visual Basic скриптіне негізделген H-worm ботнеті бірінші орында. H-Worm зиянкестерге NjRAT сияқты ұқсас басқару элементін береді. H- worm өзінің C&C серверлері үшін динамикалық DNS пайдаланады, бірақ njRAT ерекше ол зақымдалған машинадағы құпия ақпаратты фильтрлеу үшін POST – сұрау салулар мен HTTP –User –Agent өрісін пайдаланады.