Его высокая устойчивость к средствам защиты базируется, прежде всего, на использовании пиринговых сетей. Специалисты Symantec провели лабораторные исследования, в ходе которых были определены принципы «общения» ZeroAccess-ботов друг с другом и найден эффективный способ обезвреживания бот-сети, сообщили CNews в компании. Эксперты Symantec также оценили соотношение потенциальной прибыльности такого ботнета и затрат на его содержание — расходов на электроэнергию.
По данным Symantec в августе 2013 г. в каждый конкретный момент времени ZeroAccess включал в себя не менее 1,9 млн заражённых компьютеров. Ключевая особенность ботнета ZeroAccess — использование peer-to-peer (P2P) сетей для передачи команд управления и программных обновлений. И поскольку в данной архитектуре взаимодействия центрального сервера управления не существует, нейтрализовать ботнет простым отключением нескольких серверов злоумышленников невозможно. После заражения вирусом ZeroAccess компьютер первым делом подключается к ближайшим компьютерам-пирам своей сети для обмена информацией о других таких же компьютерах. Таким образом, боты получают информацию друг о друге, что позволяет им в дальнейшем быстро распространять команды управления и файлы.
Другой отличительной особенностью ботнета ZeroAccess является поддержание постоянного взаимодействия между ботами своей сети. Каждый бот постоянно поддерживает соединение с другими ботами с целью обмена пир-листами и программными обновлениями, что делает угрозу крайне устойчивой к попыткам её нейтрализации, рассказали в Symantec.
Ещё в марте этого года инженеры Symantec начали изучать принципы взаимодействия ZeroAccess-ботов друг с другом для того, чтобы понять, как использовать технику синкхолинга (sinkholing) для обезвреживания бот-сети. В ходе исследования они выявили уязвимость ботнета, которая позволяла, хоть и с большим трудом, осуществить синкхолинг. Эксперты провели дальнейшие испытания в лаборатории и нашли действенный способ выведения пиров из-под контроля ботмастера. Одновременно продолжалось наблюдение за активностью ботнета, и 29 июня специалисты Symantec обнаружили, что через P2P-сеть идёт распространение новой версии ZeroAccess. Обновлённая версия содержала ряд изменений, главное из которых заключалось в устранении уязвимости, делавшей возможным синкхолинг ботнета. Данная уязвимость ZeroAccess обсуждалась исследователями в отчёте, опубликованном в мае 2013 г., и именно это могло послужить причиной обновления ботнета, полагают в компании.
Таким образом, специалисты компании приняли решение 16 июля начать операцию по захвату ботнета, в результате которой очень быстро из-под контроля было выведено более полумиллиона ботов, что серьёзно отразилось на работе всей ботсети. Захват ZeroAccess-бота наступал в среднем уже после 5 минут P2P-активности.
По мнению экспертов Symantec, ботнет ZeroAccess, судя по его структуре и поведению, предназначен для доставки модулей «полезной нагрузки» на заражённые компьютеры, которые направлены на получение прибыли и делятся на два основных типа.
Первый тип — Click fraud. Троян загружает на компьютер интернет-рекламу и сам же осуществляет переход по рекламным ссылкам как обычный легитимный пользователь, зарабатывая таким образом деньги в партнёрских программах типа pay-per-click (платить за клик, PPC).
Второй тип — Bitcoin mining. Виртуальная валюта представляет для злоумышленников особый интерес. Каждая виртуальная монета зарабатывается за счёт выполнения компьютером ряда математических операций. Такой способ приносит ботмастеру прямую прибыль и обходится жертве в немалые суммы денег.
Эксперты Symantec изучили энергозатраты и финансовую выгоду от применения схем Click fraud и Bitcoin mining, использовав для этого устаревшее оборудование в лаборатории компании.
«Bitcoin mining оказался бы крайне неуспешным занятием: за год непрерывной работы был бы заработан всего 41 цент. Но если в вашем распоряжении находится 1,9 млн ботов, то ситуация кардинально меняется», — заявили в компании. Такой ботнет способен приносить ботмастеру тысячи долларов в день. Конечно, это всего лишь приблизительные данные — в своих расчётах специалисты Symantec предположили, что все боты сети работают 24 часа в сутки и их производительность идентична производительности тестовой системы (Dell OptiPlex GX620 Pentium D 945, 3,4 ГГц, 2 ГБ ОЗУ (максимальное значение TDP — 95 Вт)).
Боты в режиме Click Fraud также достаточно активны. В испытаниях экспертов Symantec каждый бот использовал примерно 257Мб интернет-трафика в час, или 6,1Гб в день, совершая около 42 переходов по рекламным ссылкам в час (1008 в день). И хотя каждый клик может приносить лишь долю цента, злоумышленник может зарабатывать десятки миллионов долларов в год, учитывая огромные размеры ботнета, полагают эксперты.
Для того чтобы оценить, во что ZeroAccess обходится ни о чем не подозревающим жертвам, сотрудники Symantec высчитали разницу в энергетических затратах между режимом ожидания и режимом Bitcoin mining. В испытаниях Symantec разница составила 1,82 КВтЕч в день, что для отдельно взятой жертвы не выглядит слишком затратно. Таким образом, можно представить последствия деятельности ботнета, который насчитывает 1,9 млн подобных систем — расход электроэнергии в 3458000 КВтЕч. Такое количество энергии эквивалентно $560,9 тыс. в день. При таком раскладе Bitcoin mining оказывается экономически нецелесообразным предприятием. Однако если он осуществляется за счёт других, это в корне меняет картину и делает такое предприятие крайне привлекательным, отметили в Symantec.
В целом, несмотря на устойчивость P2P-архитектуры ботнета ZeroAccess, специалистам Symantec все же удалось отключить большую часть его ботов. Это означает, что эти боты больше не смогут получать команды от ботмастера, обновляться, а также осуществлять ту или иную вредоносную деятельность. Сейчас Symantec работает вместе с интернет-провайдерами и группами реагирования по всему миру, для того чтобы распространять эту информацию и работать над очисткой заражённых компьютеров.