ZeroAccess botnet

Bezpečnost, ,

Botnet ZeroAccess byl objeven v březnu 2011. Šířil se přes malware ZeroAccess rootkit, který využíval několik metod (útočných vektorů) jak se dostat do počítače obětí. Kolik vlastně napadl počítačů není dodnes známo. Odhady bezpečnostních experů se značně liší. Například výrobce antivirů Sophos odhaduje velikost sítě botnetu na 1 milionů aktivních zombie, bezpečnostní společnost Kindsight na 2,2 milionu.

Jak už bylo zmíněno, ZeroAcess se šířil více způsoby. Mezi ně patřilo klasické šíření přes emailový spam využívající sociální inženýrství. Zahrnovalo přímo infikovaný soubor jako přílohu anebo soubory s odkazem vedoucí na infikované soubory (například generátory sériových čísel k software).

Další metodou bylo šíření přes reklamní sítě, kdy reklama vedla na web s malware. Často se využívalo vícenásobné přesměrování, aby bylo obtížné zjistit, kam vlastně reklama směřuje.

Zajímavá byla i metoda placení za další šíření. Zapojená osoba dostala peníze, pokud se jí podařilo nějaký další stroj nakazit.

ZeroAccess rootkit infikoval MBR (Master Boot Record). Dále některé drivery ve Windows, čímž získal naprostou kontrolu nad operačním systémem. Následně vyřadil Windows Security Center, Firewall a Windows Defender.

Po úspěšném napadení, začal počítač většinou těžit kryptoměnu BitConin. Množství natěžených BitCoinů se odhaduje v přepočtu na 2,7 milionů USD podle cen ze září 2012.

Dále zombie počítače klikaly na vybranou reklamu. Zneužívány byly takzvané PPC systémy (reklamní systémy, kde dostává majitel webu peníze za prokliky). Z podvodných kliknutí mohli provozovatelé botnetu vydělat až 100 tisíc USD za den. Ztráty inzerentů mohli v některých dnech dosáhnout až 900 tisíc USD.

V prosinci 2013 se podařilo koalici, vedené Microsoft, rozbít botnet ZeroAccess vyřazením mnoha řídících command and control serverů. Útok se jim však úplně nepodařil, protože část řídících serverů nebyla zabavena. Tato část obsahovala i peer-to-peer řídící komponentu, přes kterou může být botnet aktualizován. Teoreticky tak může být stále ZeroAccess aktivní, stačí když jej někdo aktualizuje.

Share Button

Tento článek byl byl přečten 6712 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *