Rețeaua botnet ZeroAccess

ZeroAccess este un software rău intenționat de tip cal troian care afectează sistemele de operare Microsoft Windows. Acesta este utilizat pentru a descărca alte programe malware pe o mașină infectată de la un botnet, rămânând în același timp ascuns folosind tehnici de rootkit.^[1]

Istoric și propagare

Rețeaua botnet ZeroAccess a fost descoperită cel puțin în jurul lunii mai 2011.^[2] Se estimează că rootkit-ul ZeroAccess responsabil de răspândirea rețelei botnet a fost prezent pe cel puțin 9 milioane de sisteme.^[3] Estimările privind dimensiunea botnetului variază în funcție de surse; furnizorul de antivirus Sophos a estimat dimensiunea botnetului la aproximativ 1 milion de sisteme active și infectate în al treilea trimestru al anului 2012, iar firma de securitate Kindsight a estimat 2.2 milioane de sisteme infectate și active.^[4][5]

Botul în sine este răspândit prin intermediul rootkit-ul ZeroAccess printr-o varietate de vectori de atac. Un vector de atac este o formă de inginerie socială, în care un utilizator este convins să execute un cod rău intenționat fie prin deghizarea acestuia într-un fișier legitim, fie prin includerea sa ascunsă ca o sarcină utilă suplimentară într-un executabil care se anunță, de exemplu, ca ocolind protecția drepturilor de autor (un Keygen^⁠(d)). Un al doilea vector de atac utilizează o rețea de publicitate pentru ca utilizatorul să facă clic pe o reclamă care îl redirecționează către un site care găzduiește însuși software-ul rău intenționat. În cele din urmă, un al treilea vector de infectare utilizat este o schemă de afiliere prin care persoane terțe sunt plătite pentru instalarea rootkit-ului pe un sistem.^[6][7]

În decembrie 2013, o coaliție condusă de Microsoft a încercat să distrugă rețeaua de comandă și control pentru botnet. Totuși, atacul a fost ineficient, deoarece nu toate C&C-urile au fost confiscate, iar componenta sa de comandă și control peer-to-peer nu a fost afectată - ceea ce înseamnă că botnetul putea fi în continuare actualizat în voie.^[8]

Operațiunea

Odată ce un sistem a fost infectat cu rootkit-ul ZeroAccess, acesta va începe una dintre cele două operațiuni principale ale botnetului: minarea de bitcoin^⁠(d) sau fraudă PPC^⁠(d). Mașinile implicate în minarea de bitcoin generează bitcoini pentru controlorul lor, a căror valoare estimată era de 2,7 milioane de dolari americani pe an în septembrie 2012.^[9] Mașinile utilizate pentru fraudarea click-urilor simulează click-uri pe reclame de pe site-uri web plătite pe baza plată per click. Profitul estimat pentru această activitate poate ajunge până la 100.000 de dolari americani pe zi,^[10][11] care îi costă pe agenții de publicitate 900.000 de dolari pe zi în clicuri frauduloase.^[12] De obicei, ZeroAccess infectează Master Boot Record^⁠(d) (MBR-ul) sistemului infectat. Alternativ, poate infecta un driver aleatoriu din C:\Windows\System32\Drivers, oferindu-i control total asupra sistemului de operare.^{[necesită citare]} De asemenea, dezactivează Windows Security Center, Firewall și Windows Defender din sistemul de operare. ZeroAccess se conectează, de asemenea, la stiva TCP/IP pentru a ajuta la fraudarea clicurilor.

De asemenea, software-ul caută malware-ul Tidserv și îl elimină dacă îl găsește.^[1]

Note

1. ^ ^{a b} „Risk Detected”. www.broadcom.com. 
2. ^ „Monthly Malware Statistics, May 2011”. securelist.com. 
3. ^ Wyke, James (19 septembrie 2012). „Peste 9 milioane de PC-uri infectate - ZeroAccess botnet uncovered”. Sophos. Accesat în 27 decembrie 2012. 
4. ^ Jackson Higgins, Kelly (30 d.Hr.). „ZeroAccess Botnet Surges”. Dark Reading. Arhivat din original la 3 decembrie 2012. Accesat în 27 decembrie 2012. 
5. ^ Kumar, Mohit (19 d.Hr.). „9 milioane de PC-uri infectate cu botnetul ZeroAccess”. The Hacker News. Accesat în 27 decembrie 2012. 
6. ^ Wyke, James (4 aprilie 2012). „Rotkit-ul ZeroAccess”. Sophos. p. 2. Accesat în 27 decembrie 2012. 
7. ^ Mimoso, Michael (30 octombrie 2012). „ZeroAccess Botnet Cashing in on Click Fraud and Bitcoin Mining”. ThreatPost. Arhivat din original la 3 decembrie 2012. Accesat în 27 decembrie 2012. 
8. ^ Gallagher, Sean (6 decembrie 2013). „Microsoft disrupts botnet that generated $2.7M per month for operators”. Ars Technica^⁠(d). Accesat în 9 decembrie 2013. 
9. ^ Wyke, James. „Botnetul ZeroAccess: Mining and Fraud for Massive Financial Gain” (PDF). Sophos. pp. (Page 45). Accesat în 27 decembrie 2012. 
10. ^ Leyden, John (24 septembrie 2012). „Crooks can milk '$100k a day' from 1-million-zombie ZeroAccess army”. The Register^⁠(d). Accesat în 27 decembrie 2012. 
11. ^ Ragan, Steve (31 octombrie 2012). „Milioane de rețele domestice infectate de ZeroAccess Botnet”. SecurityWeek. Accesat în 27 decembrie 2012. 
12. ^ Dunn, John E. (2 noiembrie 2012). „ZeroAccess bot has infected 2 million consumers, firm calculates”. Techworld. Accesat în 27 decembrie 2012. 

Vezi și

• Botnet
• Malware
• Comandă și control (malware)
• Zombi (informatică)
• Criminalitate informatică
• Securitatea internetului
• Fraudă PPC
• Clickbot.A^⁠(d)

Legături externe

• Analysis of the ZeroAccess botnet, creat de Sophos.
• ZeroAccess Botnet, Kindsight Security Labs.
• New C&C Protocol for ZeroAccess^{[nefuncțională]}, Kindsight Security Labs.