Polskie „botnety” – czyli co warto wiedzieć i jakie są statystyki

Tłumaczenie/spolszczenie BuddyPressa 2.5.0 już dostępne z repozytorium Magic-IT
14 marca 2016
Certyfikat Lenovo: First Look – ThinkCentre M93, M93p and M93z
19 kwietnia 2016

Polskie „botnety” – czyli co warto wiedzieć i jakie są statystyki

Co to są botnety

Botnet – grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów.
Pojedynczy komputer w takiej sieci nazywany jest komputerem zombie. Całkowitą liczbę komputerów zombie na świecie szacuje się na kilka milionów – nie można jej dokładnie określić, ponieważ stale rośnie.

Robaki rozprzestrzeniają się wykorzystując różne błędy w oprogramowaniu lub niewiedzę użytkowników komputerów. Obecnie, oprócz najbardziej popularnej poczty elektronicznej, nowe robaki rozsyłają się także wykorzystując komunikatory internetowe jak np. Gadu-Gadu, MSN Messenger, ICQ, Konnekt, Jabber, Tlen.pl czy AIM.

Specjaliści wskazują na tendencję do tworzenia coraz mniejszych, a przy tym zdecydowanie trudniejszych do wykrycia botnetów. Już botnet składający się z około 3000-7000 komputerów może stać się przyczyną poważnych zagrożeń, jeśli tylko komputery do niego podłączone dysponują odpowiednio szybkim połączeniem z Internetem.

Największe Polskie botnety w 2015 roku.

Statystyki liczebności botnetów, opracowane zostały na danych platformy n6, w której dziennie przetwarzamy ponad 100 tys, zdarzeń dotyczących  zainfekowanych komputerów (botów) w Polsce. Inforamcje o botach przychodzą z wielu źródeł sposób ich pozyskania zazwyczaj opiera się na przejmowaniu infrastruktury botnetów i kierowaniu ich na systemy monitorujące. Na podstawia wszsytkich zebranych danych szacuje się, żę w Polsce w 2015 roku było ponad 150 tys. botów.

Największe botnety w Polsce

Pozycja Nazwa Liczba IP Udział procentowy
1 tinba 22 899 15,52%
2 conficker 17 007 11,53%
3 foreign 13 155 8,92%
4 sality 10 804 7,32%
5 bamital 6 045 4,10%
6 zeus 5 305 3,60%
7 gozi 4 720 3,20%
8 zeroaccess 4 092 2,77%
9 kelihos 3 776 2,56%
10 virut 3 132 2,12%
W tabeli zebraliśmy popularne rodziny złośliwego oprogramowania. Rozmiar botnetu został określony jako maksymalna dzienna liczba zainfekowanych stacji w ciągu roku.
Na pierwszym miejscu wśród botnetów w ubiegłym roku znalazł się Tinba, największy trojan bankowy. Szczyt aktywności Tinba wypadł na połowę roku 2015, średni poziom dziennej liczby zainfekowanych komputerów to 4.3 tys. Tinba jest rodzajem złośliwego oprogramowania zarządzanego przez różne, zazwyczaj niepowiązane ze sobą osoby. Jego popularność nie dziwi, ponieważ kod źródłowy bota wyciekł w połowie 2014 roku i od tego czasu obserwujemy coraz liczniejsze instancje operowane zarówno przez “przestępców-amatorów”, jaki i “przestępców zawodowych”.
Drugie miejsce piastuje Conficker, olbrzymi botnet, który został sinkholowany jeszcze w 2009 roku i od tego czasu obserwujemy spadek liczby raportowanych zainfekowanych maszyn. ZeroAccess, który dwa lata temu był na trzeciej pozycji, a ubiegłym roku na drugiej, w tegorocznym zestawieniu znalazł się dopiero na miejscu dziewiątym. Należy podkreślić fakt, żę wśród największych botnetów w Polsce, trzy są trojanami bankowymi.

Trojany bankowe

Pozycja Nazwa Liczba IP Udział procentowy
1 tinba 22 899 57,97%
2 zeus 5 305 13,43%
3 gozi 4 720 11,95%
4 dyre 2 526 6,39%
5 rovnix 1 889 4,78%

 

W powyższym zestawieniu zostały podane botnety, które stanowią zagrożenie dla klientów bankowości elektronicznej. Trojany bankowe w większości wykorzystują mechanizm modyfikacji strony internetowej na zainfekowanym komputerze, dzięki czemu przestępcy mają pełny dostęp do konta ofiary i mogą dysponować środkami znajdującymi się na nim.

Przez ostanie daw lata obserwowaliśmy stopniowe wykorzystywanie coraz to nowszych, wcześniej nie występujących w Polsce, rodzajów złośliwego oprogramowania w atakach na użytkowników bankowości elektronicznej. Przykładem tego może być Dyre/Dyreza, która sprawiała wiele problemów użytkownikom banków zachodnich, lecz w Polsce nie używano jej w atakach. Na początku 2015 roku sytuacja ta niestety się zmieniła.

Statystki botnetów z podziałem na sieci operatorów telekomunikacyjnych

Aktywność botnetów została także przeanalizowana pod kontem poziomu zainfekowania największych polskich operatorów.

Najciekawszym  zaobserwowanym przez nas przypadkiem był gwałtowny spadek liczby botów w sieci Aero2 (AS15855) po 16 marca do poziomu zaledwie średnio 3 zgłoszeń dziennie dotyczących zainfekowanych hostów, podczas, gdy do połowy marca docierały do nas zgłoszenia o ponad 900 zainfekowanych maszynach w sieci Aero2 każdego dnia. Zaobserwowana sytuacja przypuszczamy, że  wynika ze zmian w infrastrukturze sieci Aero2 i wykorzystaniu innego systemu autonomicznego dla ruchu wychodzącego użytkowników sieci.Kolejnym ciekawym zjawiskiem było zróżnicowanie liczby infekcji różnymi rodzinami trojanów wśród operatorów. Na przykład Internetia (AS43939) i Multimedia Polska (AS21021) wyróżniały się niższym poziomem zainfekowania Slenfbotem niż pozostali operatorzy. Dodatkowo, w Internetii znacznie rzadziej był “widziany” Cutwail. Natomiast Tinba, groźny trojan bankowy zdominował, użytkowników operatorów mobilnych (P4, Plus, T-Mobile).

Inna ciekawostką jest spadek aktywności  robaka Conficker praktycznie do zera w okresie od początku maja do końca sierpnia w sieci Orange Polska (AS5617). Taki spadek aktywności Confickera w sieci Orange, przypuszczamy, że związany był z uruchomieniem nowej usługi CyberTarcza. Usługa uruchomiona została w połowie kwietnia i mogłą blokować  połączenia do domen C&C Confickera, w tym do systemów monitorujących z których otrzymujemy informacje. Poniżej przedstawiamy wykres aktywności Confickera w sieci Orange.

<img class="aligncenter size-full wp-image-948" src="http://magic-it.pl/wp-content/uploads/2016/03/orange-conficker1.png" alt="orange-conficker[1]" width="576" height="360" srcset="http://magic-it.pl/wp-content/uploads/2016/03/orange-conficker1.png 576w, http://magic-it.pl/wp-content/uploads/2016/03/orange-conficker1-300×188.png 300w, http://magic-it.pl/wp-content/uploads/2016/03/orange-conficker1-234×146.png 234w, http://magic-it Going Here.pl/wp-content/uploads/2016/03/orange-conficker1-50×31.png 50w, http://magic-it.pl/wp-content/uploads/2016/03/orange-conficker1-120×75.png 120w” sizes=”(max-width: 576px) 100vw, 576px” />

 

Na poniższym rysunku prezentujemy wykres infekcji u operatorów w czasie, znormalizowany po liczbie korzystających z Internetu (na podstawie raportu UKE za 2014 rok).

 

boty-operatorzy[1]

 

 

Opinia eksperta z Magic-IT

Wielu właściceli stron narzeka właśnie na takie ataki za pomocą własnie botneta. Przejawia się to nietylko dodawaniem przeróżnych komentarzy, ale również zapychaniem baz danych przez rejestrację użytkowników. Walka z tego typu atakiem nie jest prosta a w przypadku samodzielnej walki jest to praktycznie niemożliwe. Najlepiej znaleźć oprogramowanie, które zbiera informacje o IP, adresach e-mail spamerów.

Problem pojawia się również na różnych hostingach co powoduje, że coraz częściej widzimy, że strona została zainfekowana (strona wyłączona). Niestety wiąże się to z tym, że hostingodawcy są nakierowani na szybkość serwerów, a nie na ich bezpieczeństwo. Wielokrotnie można zobaczyć, że administratorzy hostingów niestety nie mają większego pojęcia jak z tym walczyć i zostawiają klienta z tym problemem. Walka klientów z takimi atakami niestety nie odnosi większych sukcesów i strona jest infekowana ponownie.

Dział projektowy Magic-IT

Mateusz Stępień

1 Comment

  1. Elroy Deibler napisał(a):

    Dobry artykuł. Super stronka.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Powered by themekiller.com anime4online.com animextoon.com apk4phone.com tengag.com moviekillers.com