На мгновение поставим себя на место киберпреступника. Вы собрали множество инструментов (Malware), создали инфраструктуру (сервера управления и контроля (C&C)) и у вас налажен процесс монетизации ваших усилий. Вы просыпаетесь утром, а домены, на которых вы тщательно строили свой malware и которые используются для управления и контроля, «захвачены» и остановлены. Какие-то исследователи кибербезопасности взяли их под контроль, и полностью остановили ваш зароботок. Это, несомненно, будет хорошей новостью для тех, кто читает эту статью, но для киберпреступников это большая неудача. Эти «захваты» были стимулом для самых впечатляющих прорывов в разработке вредоносных технологий в последнем десятилетии.

Сопротивляемость С&C серверов  к “захватам”

Сохранение контроля над системой является главной задачей после удачного заражения компьютера злоумышленниками с использованием эксплойтов или социальной инженерии. Антивирусные программы, запущенные на компьютере, будут пытаться уничтожить угрозу, а домены С&C серверов и их IP-адреса будут добавлены в черные списки и заблокированы в сетях по всему миру. Многие авторы вредоносных программ уже начали строить сложные механизмы для того, чтобы malware приобретали сопротивляемость блокам и «захватам». Наиболее инновационными механизмами сопротивляемости «захватам» являются:

• Пиринговые сети (Р2Р): они предпочтительнее, чем использование единичных (или малых) по количеству сбоев портов для осуществления управления и контроля. Р2Р-боты соединяются с другими инфицированными системами, которые могут передавать команды от атакующего;
• Домен генерирующие алгоритмы (DGA): зачем использовать один домен для управления и контроля, когда можно использовать 100, 1000, или больше? Домены С&C серверов, которые генерируются алгоритмом DGA, изменяются с течением времени. Зачастую, киберпреступнику нужно зарегистрировать лишь один из этих доменов, чтобы обеспечить контроль над сетью. Один из наиболее известных ботнетов, основанный на DGA – это Conficker. В своем финальном варианте он генерирует 50 000 возможных домена в день.  

Эти механизмы часто используется только когда первичный механизм C&C был «захвачен», и его использование делает «захват» ботнета гораздо более сложной задачей.

Компрометация I2P

В прошлом году выделили два семейства malware: CryptoWall 2.0 и Dyreza/Dyre. CryptoWall является одним из нескольких семей вымогателей. Он приносит доход атакующему следующим образом: шифрует файлы на зараженном компьютере с помощью закрытого ключа, который находится у злоумышленника, затем злоумышленник требует выкуп (обычно около $ 500), чтобы предоставить ключ, который расшифрует файлы. В октябре CryptoWall 2.0 начал использовать анонимную сеть Tor, чтобы обслуживать страницы, через которые зараженные пользователи получали возможность дешифрации своих файлов. Таким образом Tor был скомпрометирован, но C&C сервера были обезврежены. В последние несколько недель мы пронаблюдали, как пиринговая анонимная сеть I2P была скомпрометирована последними версиями CryptoWall 3.0 и Dyre banking Trojan.

I2P менее распространена чем Tor, но по функционалу достаточно похожа. I2P – оверлейная сеть поверх интернета, соединения между узлами этой сети зашифрованы. Пользователи этой сети могут получать доступ к ее анонимным сервисам, доступным только в I2P или к ресурсам интернета без раскрытия IP-адреса. В случае CryptoWall 3.0, malware пытаются получить доступ к ресурсам .i2p, которые доступны только внутри сети I2P. Они также называются "eepSites." и могут иметь вид:

• proxy1-1-1.i2p
• proxy2-2-2.i2p
• proxy3-3-3.i2p
• proxy4-4-4.i2p
• proxy5-5-5.i2p

CryptoWall 3.0 использует I2P так же, как CryptoWall 2.0 использует Tor, для предоставления пострадавшим доступа к сервису дешифрации. Банковский троян Dyre использует несколько механизмов С&C, в том числе шифрованных HTTPS запросов к списку жестко закодированных IP-адресов, DGA генерации 1000 новых доменов каждый день, и использует плагин I2P. Эти многочисленные механизмы C&C делают Dyre гораздо более устойчивым к «захвату». Наиболее известные адреса C&C серверов Dyre:

• 228.17.152
• 228.17.155
• 228.17.158
• 78.103.85
• 114.0.58
• 203.50.17
• 203.50.69
• 153.35.133
• 183.172.196
• 56.214.130
• 56.214.154
• 239.209.196
• 172.179.9
• 172.181.164
• 172.184.75
• 23.8.68
• 59.2.42
• 248.224.75
• 25.134.53
• 25.138.12
• 25.145.179
• 190.139.178
• 23.196.90
• 23.61.172

Перечислить все домены, сгенерированные DGA - невозможно, что и является главным преимуществом этого механизма. Наиболее простой путь защиты сети от Dyre и CryptoWall 3.0 – это идентификация и полная блокировка I2P-трафика. Безусловно, существуют обоснованные поводы для применения средств «анонимизации» пользователей в сети. Но для многих организаций транзит такого трафика опасен и нецелесообразен, какие бы цели не преследовались пользователем. Технология Palo Alto Networks – App-ID идентифицирует I2P, Tor и еще 51 приложение для туннелирования траффика.