Рейтинг ботнетов по версии ESET

Рейтинг ботнетов по версии ESET

В состав «армии зомби» – ботнета – могут входить миллионы зараженных вредоносным ПО компьютеров, которыми дистанционно управляют киберпреступники. «Зомби-сеть» используется для DDoS-атак, рассылки спама, накрутки кликов, кражи персональных данных – без ведома жертвы. При этом зараженные машины атакуют «здоровых» в лучших традициях постапокалиптических фильмов.

 

1. Storm

В 2007 году червь Storm «зомбировал» до десяти миллионов компьютеров по всему миру. Это первая, но далеко не последняя в истории человечества атака подобного масштаба.

Операторы Storm впервые использовали тактику, которая до сих пор в ходу у киберпреступников. Вредоносное ПО распространялось в письмах с заголовками в стиле «ШОК! ВИДЕО!» и с применением методов социальной инженерии. Схемы заражения, равно как и вредоносный код, постоянно менялись.

Кроме того, создатели Storm первыми получили финансовую прибыль от ботнета – их армия продавалась по частям и использовалась в разных вредоносных кампаниях. «Боевые зомби» атаковали даже информационные сети антивирусных вендоров и веб-ресурсы о безопасности.

2. Conficker

Поведение «зомби-сетей» невозможно прогнозировать – ботнет скромных размеров может в любой момент превратиться в миллионную армию «зомби».

В 2008-2009 гг. ботнет Conficker объединил до 15 млн «зомби-машин». Совокупная вычислительная мощь сети превосходила возможности существующих суперкомпьютеров. Создатели ботнета могли использовать его для DDoS-атак на интернет-ресурсы, кражу данных и спам-рассылки.

В борьбе с Conficker участвовали ведущие антивирусные вендоры, включая ESET. Им удалось значительно сократить численность «армии зомби». Но вирус мутирует, и сегодня, шесть лет спустя, опасность заражения все еще существует.

3. Zeus

Как известно из кино, зомби-апокалипсис настанет быстрее, если вирус будет заражать не только людей, но и животных. Создатели ботнета Zeus руководствовались схожим принципом – пока компьютеры на базе Windows пополняли «армию зомби», мобильное вредоносное ПО осуществляло кражу данных онлайн-банкинга с устройств на Symbian, Windows Mobile, Android и Blackberry.

В 2012 году ботнет был повержен, но, по законам жанра, «восстал из мертвых», реконструированный на базе оригинального кода. Летом 2014 года с новым ботнетом Gameover Zeus справились специалисты ФБР и партнеры ведомства.

Но история продолжается – создатели ботнета работают над его возвращением, а тем временем по схеме Zeusраспространяется небезызвестный троян-вымогатель Cryptolocker.

4. Flashback

Ботнет Flashback шокировал людей, убежденных в том, что вирусов для Мас OS X не существует. Доказывая обратное, его создатели «обратили в зомби» более 600 тыс. машин по всему миру, используя уязвимость нулевого дня в плагине Java.

Получив в свое распоряжение значительную долю компьютеров Apple по всему миру, создатели армии «яблочных зомби» попытались зарабатывать деньги на кликах. Идея провалилась, так как «зомби» не проходили фейсконтроль систем обнаружения мошенничества.

Пока в мире остаются зараженные трояном Flashback компьютеры Мас, нельзя с уверенностью утверждать, что эпидемия в прошлом. Кто знает, что придумают создатели этой «армии зомби».

5. Windigo

На первый взгляд, ботнет Windigo не представляет особой опасности – он «всего лишь» крадет учетные записи пользователей и использует «зомби-машины» для рассылки спама. С другой стороны, его создатели собирали свою «армию» почти три года, не привлекая внимания специалистов по информационной безопасности.

Жертвы Windigo – порядка 25 тыс. веб-серверов под управлением Linux, а, значит, и веб-сайты, которые ежедневно посещают миллионы человек. «Зомби» Windigo атакуют всех – пользователи Windows перенаправляются на набор эксплойтов, Мас-юзерам демонстрируется реклама сайтов знакомств, а с iPhone осуществляется переход на «взрослый» контент.

«Армия зомби», названная в честь духа-людоеда в мифологии индейцев-алгонкинов, продолжает поиск новых жертв в полном соответствии с привычками вечно голодного вендиго.

DROIDBREAKER обходит ML-детекторы Android-вредоносов без поломки APK

Машинное обучение в антивирусах снова получило неприятный привет. Исследователи представили DROIDBREAKER — фреймворк для создания модифицированных Android-приложений, которые могут обходить ML-детекторы вредоносных приложений и при этом сохранять работоспособность.

Авторы работы отмечают, что многие прежние атаки на Android-детекторы выглядели красиво в статьях, но плохо жили в реальности.

Одни методы добавляли в APK целые доброкачественные модули, из-за чего приложение обрастало лишними признаками и часто ломалось еще на этапе сборки. Другие меняли байт-код слишком грубо: формально APK получался валидным, но нормально работать уже не мог.

Отдельная претензия исследователей была к проверке успешности таких атак. По их словам, в прошлых работах часто ограничивались тестами: приложение установилось, запустилось — значит, всё хорошо. Но это не доказывает, что после модификаций оно сохранило исходную функциональность.

 

DROIDBREAKER пытается решить именно эту проблему. Фреймворк меняет только те компоненты APK, которые сильнее всего влияют на решение целевой ML-модели. Для этого используются более точечные и безопасные манипуляции: изменение API-вызовов, модулей приложения, разрешений, URL и элементов обфускации.

Главная фишка — проверка сохранения поведения. DROIDBREAKER сравнивает журналы выполнения и API-трейсы исходного и измененного приложения, чтобы убедиться: APK не просто собрался и запустился, а действительно продолжает делать то, что должен.

В экспериментах на свежем наборе Android-приложений фреймворк показал высокую эффективность обхода как в сценариях white-box, так и в black-box. При этом ему требовалось относительно мало запросов к модели, а побочных изменений в приложении было меньше, чем у прежних подходов.

Более того, модифицированные APK заметно реже детектировались коммерческими сканерами, представленными на VirusTotal.

RSS: Новости на портале Anti-Malware.ru