Александр Гостев: "Ботнет может жить годами"

Взять это интервью меня сподвигла неожиданная - если не сказать бредовая - реакция владальцев некоторых сайтов на DDoS-атаки, случившиеся в начале апреля. Поэтому перед тем, как дать слово Александру Гостеву, я скажу несколько слов об этих реакциях.

После второго падения "Живого Журнала" появилась заметка эксперта "Лаборатории Касперского" Марии Гарнаевой об одном из ботнетов, которые атаковали ЖЖ. Там были названы и цели, и дни атаки. В начале поста было тактично замечено, что эксперты ЛК не знают, сколько ботнетов участвовало в атаке - они наблюдали лишь за одним (Optima) и только о нем рассказали.

Тем не менее, известный поэт Демьян Кудрявцев, по совместительству - руководитель "Коммерсанта" и представитель владельца ЖЖ, заявил, что эта заметка - "бессмысленное малоинтересное вранье", и даже обозвал Марию Гарнаеву "лохом".

Еще дальше пошла руководиль(ница?) LiveJournal Светлана Иванникова. К слову сказать, тоже очень литературная девушка - пользователей "Живого Журнала" Светлана по-дружески называет "уебанами". В принципе, это неудивительно для выпускницы журфака МГУ, там примерно такому и учат. Однако у Светланы неожиданно проснулись познания и в области DDoS-атак: она рассказала "Афише" сразу несколько версий - включая и такую, что "за всем стоит одна известная компания, которая выпускает антивирусные программы".

Через несколько дней случилась DDoS-атака того же ботнета на "Новую газету". Руководство газеты сняло все сливки с происшествия: попиарили свой блог и другие проекты, наехали на милицию (в которую не обращались), наехали на своего хостера (к которому тоже не обращались). Но более всего порадовали они читателей сообщением о том, что "буквально через 10 минут после этого позвонили из Лаборатории Касперского" - сообщили об атаке, а затем предложили помощь. Естественно, у читателей возникли те же версии о "подозрительной оперативности", что и у звезды журфака Иванниковой.

Отвечая на это в наших комментариях, я посоветовал людям из ЛК "никогда не предлагать помощь советским газетам". Ежу понятно, что газетам (в отличие от магазинов и банков) совсем не выгодна оперативная борьба с DDoS. Не-не, им надо полежать пару дней, громко изображая страдальцев. Пиар-эффект от этой пары дней "под серьезной атакой" может длиться годами.

Но я думаю, есть еще одна причина, по которой предупреждение и защита от DDoS воспринимаются литературными работниками столь неадекватно. Дело в том, зараженный простым вирусом компьютер "лечится", и обычно сразу, тем же антивирусом, который его поймал. А вот ботнет "не лечится". В истории с ботнетом три участника - атакуемый сайт, атакующие зомби-компьютеры и центр управления. Средства автоматизированной защиты имеют дело только с двумя из трех героев.

Основной бизнес ЛК - это диагностика и лечение зараженных компов. Если всех вылечить, атаковать будет некому. Однако установка антивируса - личный выбор пользователя (либо его мамы с папой), никого не лечат принудительно (за исключением специальных случаев по решению суда).

Между тем, поскольку вирусы ботнета получают команды через Интернет, анализ их кода позволяет узнать и источник атаки, и адресата, и время. Возможны ситуации, когда узнать об атаке по коду вируса можно еще до ее начала. Это похоже на фильм "Особое мнение" - с той лишь разницей, что в фильме сразу пресекали запланированные преступления. В случае ботнета, эксперты-антивирусники не могут "выключить" атаку, даже если наблюдают ее. Известны случаи, когда представители ЛК принимали участие в охоте на ботнет (особенно интересен вот этот случай) - но лишь как эсперты, которых пригласили органы правопорядка.

С другой стороны, есть системы защиты от DDoS на стороне сайта. Самые простые из них фильтруют приходящий трафик вслепую, так что могут перепутать DDoS c другими наплывами трафика (например, с поисковым роботом-индексатором). Понятно, как можно улучшить эту систему. Можно, например, следить за трафиком не на конечном сервере, а на "большой трубе" магистрального провайдера. Можно использовать данные, полученные при анализе вирусов - как сказано выше, там есть и адресат, и источник, и время начала атаки. Я делаю вид, что не знаю, насколько эти идеи используются в Kaspersky DDoS Prevention. Но в любом случае, эта система сама ничего не может сделать с центром управления, кроме наблюдения за ним.

Как же бороться с этими центрами? Послушаем, что рассказывает Александр Гостев, главный антивирусный эксперт «Лаборатории Касперского».

- Вы наблюдаете за ботнетом Optima, который до сих пор работает. А почему его до сих пор не вырубили?

- Мы не осведомлены о том, на каком этапе в данный момент находится взаимодействие с хостинг-провайдерами, на ресурсах которых размещены административные панели ботнета Optima. Насколько можно судить из публичных источников, компания СУП на этой неделе подала заявление в российские правоохранительные органы. Посмотрим, что будет дальше.

- Есть ли вообще "стандартная практика" вырубания ботнетов - скажем, необходимо ли судебное решение для отключения центра управления? Правильно ли я понимаю, что главная трудность - добиться каких-то действий в другой юрисдикции?

- Для отключения центра управления необязательно судебное решение. Зачастую уведомление провайдера о том, что на его серверах размещается центр управления ботнетом, является достаточной мерой для принятия провайдером решения об отключении соответствующего сервера.

Более долгий процесс – это получение от провайдера логов доступа к серверу и анализ информации о возможных владельцах. Таким образом, отключить ботнет можно достаточно быстро, но найти его хозяев – долго.

Вместе с тем, на «черном рынке» IT-услуг, которыми пользуются киберпреступники, существуют также хостинги, которые гарантируют клиентам размещение на своих серверах любых материалов и обязуются не обращать внимание на жалобы на контент и не выдавать никакой информации по запросам. В таких случаях инициировать отключение серверов управления от сети могут либо правоохранительные органы (как это было, например, в случае закрытия голландской полицией серверов ботнета Bredolab), либо вышестоящие интернет провайдеры (например, в случае закрытия хостинга McColo).

Если ботнет взаимодействует с серверами, находящимися в разных странах, то закрытие ботнета осложняется необходимостью взаимодействовать с провайдерами и правоохранительными органами этих стран, что в конечном итоге может потребовать много времени.

- Каково в среднем "время жизни" ботнетов? Меняется ли этот показатель во времени?

- Время жизни ботнетов - от нескольких месяцев до нескольких лет. При этом их состав за этот период может полностью обновиться несколько раз. Многие из ботнетов, наблюдаемых нами сейчас, впервые появились несколько лет назад (например, TDSS или CodecPack). Ботнет Rustock, закрытый в начале этого года, в том или ином виде существовал с 2007 года. Здесь есть интересная закономерность, кажущаяся на первый взгляд парадоксальной – чем крупнее ботнет, тем дольше он существует. Это объясняется тем, что крупные ботнеты имеют большие возможности по заражению новых жертв.

- Можно ли говорить о зависимости жизни ботнета от географии? Есть ли еще какие-то важные параметры, которые влияют на "время жизни"?

На время жизни ботнета влияют такие факторы:

- сетевая архитектура ботнета (централизованное управление, P2P управление). В случае централизованного управления для обезвреживания ботнета достаточно отключить сервера управления. Кроме того, в IRC-ботнетах достаточно заблокировать канал на IRC-сервере, к которому присоединяются боты и "слушают" команды бот-мастера. В случае же P2P-ботнетов боты получают команды от ботов-"соседей", и выявление подлинного центра управления представляет собой очень сложную задачу.

- детектирование и "разоблачение" ботов антивирусами. В случае если боты не детектируются антивирусами, то центр управления и ботнет могут долгое время быть никому не известными (например, Stuxnet или тот же Rustock).

- Наличие функционала генерации доменных имен центров управления. В этом случае сложно определить список доменов - управляющих серверов, с которыми будет соединяться ботнет (если только не разобрать алгоритм генерации). Некоторые ботнеты могут менять центр управления каждый день.

- География также влияет на жизнь ботнетов. Несколько лет назад, например, многие ботнеты использовали центры, расположенные в Китае, и китайские доменные имена. Но пару лет назад в этой стране начали активно проводить «зачистку» кибепространства, что значительно осложнило возможность иностранным гражданам получать в пользование ресурсы в Китае.

Как следствие, мы наблюдаем миграцию центров управления ботнетов в другие страны – Индию, Украину, Прибалтику.

Другие интервью