ZeroAccess: We're Gonna Need a Bigger Planet …..... in pratica, occorrerebbe un pianeta piu' grande per ospitare l'attuale botnet “ZeroAccess”
Questa affermazione deriva da quanto emerge da una analisi degli indirizzi IP coinvolti nella botnet che, geo localizzati su Google Earth, produco un risultato sicuramente interessante
Ecco la mappa degli IP di macchie infette da ZeroAccess riferiti all'Europa
ed ecco quella relativa agli USA.
Una notevole quantita' di PC infetti che dimostrano come questa botnet, peraltro non recente come comparsa, si sia diffusa in maniera notevole specialmente negli ultimi mesi.
Si trova infatti in rete della documentazione che porta come data di rilevamento della botnet, l'anno 2010. anche se in seguito la botnet si e' evoluta presentando codici differenti dai primi analizzati.
A titolo di curiosita' su http://ethicalhackers.info/ si riporta come nel mese di Agosto 2012 piu' di 850 computer di studenti di universita' americane siano stai coinvolti nella botnet ZeroAccess ed e' stato calcolato che larghezza di banda totale consumata a causa della botnet nelle 24 ore e' stata di ben 1,59 Terabits.
In due successivi 'papers' pubblicati da Sophos vengono esaminati i vari aspetti della botnet ZeroAccess sia dal punto di vista della struttura che dei sistemi di 'distribuzione' dei codici pericolosi.
Nel primo 'paper' di Aprile 2012 Sophos ricorda come, “.. Il rootkit ZeroAccess e' una minaccia pericolosa che sta circolando da diversi anni............ SophosLabs ha visto di recente il numero di macchine infettate da ZeroAccess aumentare bruscamente in quanto vi e' stata una proliferazione di differenti varianti del codice.....” .
Si legge inoltre come la diffusione del malware e attuata essenzialmente utilizzando sia pratiche di 'Social engineering” che attraverso exploits tra cui il noto “BlackHole”
Le tecniche di supporto alla distribuzione degli Exploits sono sempre le 'solite' praticate da tempo con l'uso di siti legittimi che sono stati compromessi da un aggressore (spesso attraverso le credenziali FTP rubate, SQL injection.. ecc....)
I siti compromessi servono sia come redirector al sito di attacco principale (tipicamente, piccoli JavaScript sono inseriti in pagine di un sito compromesso che inviera' l'utente al sito di attacco) ma anche come sito che contiene gli exploits veri e propri.
Per diffondere i links a tali siti compromessi si utilizzano, a loro volta, tecniche note di SEO (Search Engine Optimization) con cui posizionare i link malevoli ai primi posti nei risultati dei motori di ricerca, aumentando cosi' il traffico utile verso il sito malevolo (redirect e/o exploits).
Naturalmente anche le e-mail possono venire usate allo scopo.
Una e-mails di spam con links alla pagina di redirect al malware e' una delle scelte possibili per reindirizzare l'ignaro utente al sito Web compromesso che ospita il codice di exploit.
Gli exploit vettori di infezione per ZeroAccess sono molto efficaci e di solito non richiedono alcun input da parte della vittima oltre che l'esplorazione di un sito apparentemente legittimo o facendo clic su un link apparentemente innocuo.
Il secondo vettore principale di infezione ZeroAccess e' quello che sfrutta pratiche di ingegneria sociale.
Avremo cosi' l'uso di software fake quale keygen, programmi di crack posizionati su siti di download anche torrent ecc....
Si tratta di programmi che se eseguiti provvederanno ad installare il malware di gestione della botnet.
Tra le varie info interessanti, il 'paper Sophos' cita ad esempio il fatto che al momento dell'installazione il software malevolo puo' scegliere se installare codice a 32 o 64 BIT
Il documento segue poi con una dettagliata analisi dei codici di installazione della botnet ed altre info interessanti.
Il secondo paper recentemente pubblicato (settembre 2012) si apre con alcune info al riguardo di recenti sviluppi della botnet ZeroAccess.
Si apprende cosi' che sono sono state apportate modifiche significative ai codici malevoli e che si stima che software ZeroAccess e' stato installato piu' di 9 milioni di volte.
La dimensione attuale della botnet e' di 1 milione di macchine infette diffuse in tutto il mondo, con la maggior parte negli Stati Uniti, ma anche, a vedere dal report su f-secure , in Europa.
Inoltre si evidenzia come il guadagno per i “gestori” della botnet sia, almeno in maniera potenziale, di $ 100.000 ogni giorno.
Il 'paper' si sofferma anche su come in pratica la botnet generi guadagni per chi la gestisce attraverso ad esempio pratiche 'Click fraud 'e di 'Bitcoin mining'.
Edgar
Nessun commento:
Posta un commento