На конференции RSA 2011 года в Сан-Франциско было установлено, что самый большой и самый продуктивный спам-ботнет в мире на сегодняшний день – это Rustock, насчитывающий 250 000 ботов, и его размер, а также неослабевающая мощь неразрывно связаны с постоянно развивающимися технологиями, гласит новое исследование.
Джой Стюарт, директор по исследованию вредоносных программ в Dell SecureWorks Counter Threat Unit, говорит, что Rustock занимает первую позицию благодаря тому, что его разработчики постоянно осуществляют развитие кодовой базы. Руткит может скрываться от антивирусных программ и применять несколько передовых техник для избегания обнаружения.
В отличие от прошлого, увеличение размера не обязательно лучшая стратегия для спам-ботнетов. Большинство владельцев ботнетов предпочитают содержать сети меньшего размера, чтобы оставаться вне подозрений и избежать операций по уничтожению, от которых пострадали Mega-D, Waledac, и другие. "Модель кажется сокрытой от внимания только лишь по причине того, что никто не проявляет к вам интереса", – говорит Стюарт. "Данные ботнеты преуспели в этом", – добавил он о ведущих представителях спам-ботнетов из списка, выпущенного сегодня.
В списке не было новичков – большинство ботнетов существует в течение нескольких лет. Cutwail является вторым по величине ботнетом с 100 000 ботов, за ним следуют Lethic – 75 000 ботов; Grum – 65 000 ботов; Festi – 60 000 ботов; и Maazben – 30 000 ботов. Оставшиеся спам-ботнеты имеют где-то от 5 000 до 30 000 ботов на сегодняшний день, сюда входят Asprox, Fuflo, Waledac, Fivetoon/DMSSpammer, Xarvester, Bobax, Gheg и Bagle.
В списке этого года заметно отсутствие зловредного ботнета Mega-D, также известного как Ozdok, который в 2009 году смогли успешно уничтожить исследователи из FireEye. Предположительно, владелец ботнета был арестован в прошлом году, и с того момента о Mega-D ничего не слышно, согласно исследованию Стюарта. "Mega-D официально прекратил свое существование", – говорит Стюарт. Waledac, который был центром внимания при проведении операций по уничтожению в прошлом году, все еще показывает некоторые признаки жизни.
Bobax/Kraken является примером большого ботнета, который немного утратил свои объемы, но остается мощным: он составляет лишь десятую часть прежнего размера, но все еще действует, говорит Стюарт. "Ботнет по-прежнему способен распространять спам и делать деньги ", – отмечает он.
Пространство спам-ботнетов является в своей основе зрелым рынком, говорит он. "Мы установили игроков в данной игре, а они определили модель", – отмечает Стюарт. "Новички не кажутся увлеченными спамом на базе SMTP. Данная экосистема не растет, но и спам не уходит".
Быть таким большим ботнетом, как Rustock, и не привлекать к себе внимания и попыток уничтожения, это требует больших усилий. Разработчик Rustock добавил новые техники в кодовую базу, чтобы поддерживать хорошую работоспособность ботнета, сюда относится следующее: пробные экземпляры должны ждать 5 дней, прежде чем приступить к спаму; C&C серверы работают на основе TOR; для связи между ботами и C&C серверами используется HTTP, HTTP запросы маскируются под посты на онлайн-форумах, с зашифрованным контентом; а также маскируются IP-адреса.
Стюарт из SecureWorks испытал прежде всего разочарование, пытаясь проследить за Rustock. "Некоторые [техники уклонения] были для меня проблемой", – говорит он. "Я случайно попал в ловушку и был вынужден написать свой код, чтобы выбраться из нее. Они знают, что люди вроде меня на страже и наблюдают".
Наиболее популярный механизм распространения для крупнейших спам-ботнетов – это тактика оплаты за установку и вирусы. Ботнет Festi также проводит DDoS-атаки, включая одну против сайта русского оператора интернет-платежей по банковским картам ChronoPay, сообщает Стюарт. "Он не боится раскрыться и нанести удар", – отметил Стюарт.
"Если ты хочешь зарабатывать на этом, тебе будет достаточно от 20 000 до 30 000 ботов, и люди не будут обращать на тебя внимание", – говорит Стюарт. "Если ты хочешь стать крупнейшим спаммером в мире, придется приложить намного больше усилий", чтобы действовать, не привлекая к себе слишком много внимания, заметил он.
Прошлый список ведущих спам-ботнето в SecureWorks был составлен два года назад, и этот список выглядел так: Srizbi с 315 000 ботов; Bobax с 185 000 ботов; Rustock с 150 000 ботов; Cutwail с 125 000 ботов; Storm с 85 000 ботов (только 35 000 из которых рассылали email); Grum с 50 000 ботов; OneWordSub с 40 000 ботов; Ozdok с 35 000 ботов; Nucrypt с 20 000 ботов; Wopla с 20 000 ботов; и Spamthru с 12 000 ботов.