Za kulisami botnetowego biznesu

Podczas warsztatów zorganizowanych przez USENIX (Advanced Computing Technical Association -stowarzyszenie zrzeszające użytkowników, programistów i badaczy systemów operacyjnych) przedstawiono m.in. wyniki badań dotyczących zasad funkcjonowania podziemia ekonomicznego, zwłaszcza w obszarze wynajmu i zarządzania botnetami wysyłającymi spam.

Zespół badaczy z Uniwersytetu Kalifornia, współpracując z różnymi dostawcami internetu, uzyskał dostęp do 13 serwerów sterujących botnetami (serwery C&C - Command and Control) oraz trzech serwerów używanych do prac projektowych przez operatorów botnetu Cutwail (działającego od 2007 r. i w swoim czasie ocenianego jako największy istniejący botnet wykorzystywany do wysyłania spamu, z największą liczbą zainfekowanych hostów). Cutwail często występuje też pod nazwą Pushdo (oddzielny komponent trojana, który instaluje to oprogramowanie).

Uzyskane w wyniku tych badań dane pozwalają na lepsze zrozumienie mechanizmów działania dużych botnetów. Zespół badaczy stwierdził, że Cutwail wykorzystuje szyfrowany protokół komunikacyjny i zautomatyzowany, oparty na szablonach system spamowania. Generuje on unikatowe wiadomości, dzięki czemu łatwiej przechodzą one przez filtry antyspamowe. Badacze mieli dostęp do rekordów z serwerów Cutwail, z których najstarsze pochodzą z czerwca 2009r. Z pozyskanych zapisów wynika, że wolumen spamu wysłanego do sierpnia 2010 r. jest olbrzymi - w tym okresie wysłano ok. 1,7 biliona wiadomości. Według szacowań serwery, do których badacze mieli dostęp stanowiły między połową dwiema trzecimi liczby wszystkich aktywnych serwerów C&C Cutwail, tak więc całkowity wolumen spamu jest prawdopodobnie jeszcze wyższy.

Wysłanie tak olbrzymiej liczby niechcianych wiadomości e-mail jest dużym wyzwaniem. Zadanie spamerów jest komplikowane przez takie czynniki, jak niewłaściwe adresy pocztowe, błędy SMTP czy czarne listy nadawców spamu. W rezultacie z 87 miliardów wiadomości spamowych wysłanych od 30 lipca do 25 sierpnia 2010 r., serwery pocztowe zaakceptowały jedynie ok. 30,3%, a faktyczny wolumen spamu jest prawdopodobnie dużo mniejszy, jeżeli weźmie się pod uwagę efekt działania filtrów antyspamowych funkcjonujących po stronie klienckiej. Jednak tak jak w każdym dobrym biznesie (nie należy zapominać, że przynosi on niemałe dochody), spamerzy gromadzą szczegółowe statystyki dotyczące każdej zainfekowanej maszyny, co pozwala im mierzyć efektywność kampanii spamowych i dokonywać wyprzedzająco odpowiednich modyfikacji.

Zespół zdołał także uzyskać kopię popularnego forum znanego jako Spamdot.biz, które ma na celu upraszczać proces tworzenia i zarządzania kampaniami spamowymi. Spamdot.biz jest dostępne w języku rosyjskim i angielskim, liczy ok. 1900 członków i daje użytkownikom sposobność wynajęcia botnetu lub zakupienia listy adresów pocztowych dla wysyłana spamu. Prawie wszyscy członkowie forum - ok. 91% - jako swój pierwszy język wybiera rosyjski. Ściśle kontrolowana społeczność dopuszcza jedynie te osoby, które zostaną zaakceptowane przez zaufanych członków lub stałych użytkowników.

Zespół obserwował również system cen, określając cenę za jeden milion adresów e-mail w przedziale od 25 do 50 USD - z upustami przy większych transakcjach. Zainteresowani budową botnetu lub instalowaniu swoich malware na dużej liczbie systemów, często poszukują usług zapewniających dostarczanie tzw. "ładunków" (loads) - terminologia przyjęta na określanie zdolności instalowania malware na zaatakowanych maszynach.

Owe ładunki mogą pochodzić z różnych źródeł, takich jak ataki drive-by-download używające iframe HTML lub inne kody złośliwe. Obserwowano oferty instalacji 10 tys. malware w cenach od 300 do 800 USD.

Cena rynkowa ładunku jest w znacznym stopniu zależna od lokalizacji geograficznej jego umieszczania - instalacja w Stanach Zjednoczonych czy Wielkiej Brytanii kosztuje więcej niż np. na komputerach znajdujących się w Azji. Zdaniem badaczy różnice w cenie wynikają z tego, że szybsze i bardziej niezawodne łącza internetowe w USA czy Europie są dla spamerów atrakcyjniejsze. Ładunek w przeliczeniu na tysiąc malware w Azji kosztuje ok. 13 USD, w Europie 35 USD i 125 USD w Stanach Zjednoczonych.


Zobacz również