Большие сети компьютеров-зомби формируются, как правило, вследствие распространения червей, использующих свежую уязвимость или просто талантливо (в определенном смысле) написанных, так что создать свой ботнет "на ровном месте" могут немногие. И те, кто не в состоянии сформировать сеть с нуля, но испытывают в ней настоятельную потребность, иногда приобретают уже готовый ботнет или «уводят» его у своих "коллег". Для этих целей даже разработаны специальные хакерские утилиты.
Децентрализация ботнетов в случае со SpamThru – не единственное новшество в организации зараженных сетей. Уже в 2007 году представители компании Apbor Networks заявили, что им удалось обнаружить несколько ботнетов, не использующих IRC-каналы. Вместо этого боты связывались по не вызывающим подозрений веб-соединениям. В случае с такими сетями становятся неэффективными алгоритмы многих IPS/IDS-систем, выявляющих вторжения по подозрительной IRC-активности. А чтобы опознать контактирующих через веб ботов, необходимо задать в сигнатурах, то есть в профилях атак в IDS/IPS, конечные адреса обращений ботов или команды управления сетью зомби. Разумеется, этих данных у специалистов по безопасности зачастую нет.
И наконец, в марте о свежей возможности организации ботнетов сообщил Билли Хоффман, сотрудник компании SPI Dynamics. Он написал на JavaScript приложение Jikto, которое позволяет заставить зараженные компьютеры искать дыры на сайтах и в случае обнаружения устраивать атаки или красть информацию. В отличие от ранее применявшихся хакерами сканеров уязвимостей, Jikto работает непосредственно через браузер. Скрипт получает команды от своего разработчика, не оставляя следов пребывания на компьютере-зомби, и делает практически невозможным обнаружение виновника атаки, так как сканирование фактически осуществляют сами пользователи зараженных машин. Хозяин может отдавать Jikto приказы, сообщая, какой сайт и на какого рода уязвимость нужно проверить.
Код Jikto можно подхватить как на сайте самого хакера, так и на других ресурсах в случае их взлома с использованием дыры в XSS. Запускается скрипт практически на любом браузере в тайне от пользователя и не может быть обнаружен антивирусом. Появление таких аналогов в руках злоумышленников тоже представляет собой глобальную угрозу, хотя бы на первый взгляд. Если наличие пропатченного браузера, антивируса с обновленными базами, эффективного спам-фильтра и правильно настроенного файрволла делает риск зомбирования компьютера через троянца или червя относительно низким, то против Jikto, как и любого другого вредоносного JavaScript-скрипта, буде такой появится, все эти средства бессильны.
Сам Хоффман полагает, что его творение кардинально меняет представление о возможностях JavaScript, и собирается продемонстрировать Jikto на конференции Black Hat в Лас-Вегасе этим летом. Есть, правда, надежда, что хакеры со скепсисом отнесутся к детищу Хоффмана из-за сравнительно низкой скорости его работы в качестве сканера уязвимостей. Такие мнения уже встречаются на некоторых форумах. А что касается возможности скрыть личность злоумышленника, то аналогичного эффекта можно достичь, использовав в ботнете цепочку из прокси-серверов.
ОПЫТЫ: Параноидальный бэкап
Автор: Филипп Казаков
Так и подмывает начать тему с традиционного занудства о необходимости резервного копирования, печальных последствиях утраты информации, бренности жестких дисков и прочих страшилках, приправленных парой примеров «из жизни» о пропавшей за день до сдачи дипломной работе. В действенности подобные занудства сродни советам переходить улицу на зеленый свет, вовремя ложиться спать, делать зарядку по утрам, бросить курить и стать, наконец, человеком. А потому, хоть и хочется вставить пару нравоучительных абзацев, я волевым усилием воздержусь.
Давайте будем считать, что читатель уже проникся всей важностью задачи резервного копирования информации, и даже более того – проникся так глубоко, что это стало для него процессом совершенно естественным, как бы даже само собой разумеющимся, в результате чего он, будучи лишен возможности сделать очередной бэкап своей рабочей флэшки, чувствует себя неуютно. С позиции такого вот пользователя, сочувственно называемого "информационным параноиком", мы рассмотрим возможности создания сложных бэкапов в домашних условиях под Windows XP.