Affrontare la botnet ZeroAccess

Symantec annuncia che, grazie al lavoro degli specialisti dell’azienda, è stato possibile limitare in maniera significativa la botnet ZeroAccess – attiva dal 2011, una delle più grandi attualmente conosciute, con oltre 1,9 milioni di computer infettati e decine di milioni di dollari potenzialmente generati ogni anno

La botnet ZeroAccess è una delle più grandi botnet di cui al giorno d’oggi è nota l’esistenza, con il coinvolgimento di oltre di 1,9 milioni di computer al giorno, come osservato da Symantec nel mese di agosto 2013. Una caratteristica chiave della botnet ZeroAccess è l’utilizzo di un’architettura di comunicazione Command-and-Control (C&C) di tipo peer-to-peer (P2P), che fornisce alla botnet un livello elevato di disponibilità e ridondanza. Data l’assenza di un server C&C centrale, è impossibile neutralizzare la botnet semplicemente disabilitando l’insieme dei server autori dell’attacco. Quando un computer viene infettato da ZeroAccess, per prima cosa si connette a diversi peer per scambiare i dettagli relativi ad altri peer presenti nella propria rete P2P nota. In questo modo, i bot rilevano la presenza di altri peer e possono propagare istruzioni e file attraverso la rete in modo rapido ed efficiente. Nella botnet ZeroAccess avviene una comunicazione costante tra peer. Ogni peer si connette continuamente ad altri peer per scambiare elenchi di peer e verificare la presenza di file aggiornati: in questo modo risulta molto difficile tentare di disattivare il sistema.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Neutralizzare la botnet

Nel mese di marzo di quest’anno, i nostri specialisti hanno iniziato a studiare in dettaglio il meccanismo utilizzato dai bot ZeroAccess per comunicare tra loro, per stabilire in che modo era possibile neutralizzare la botnet. Nel corso di questo processo, abbiamo esaminato un punto debole che offriva un sistema complesso ma non impossibile per neutralizzare la botnet. Sono stati eseguiti ulteriori test nei nostri laboratori controllati ed è stato individuato un modo pratico per liberare i peer dal botmaster. In questo periodo, abbiamo continuato a monitorare la botnet e il 29 giugno abbiamo notato che nella rete peer-to-peer veniva distribuita una nuova versione di ZeroAccess. La versione aggiornata conteneva diverse modifiche ma, soprattutto, includeva cambiamenti che eliminavano i difetti di progettazione che rendevano la botnet vulnerabile. Il punto debole del meccanismo P2P di ZeroAccess è stato analizzato dai ricercatori in uno studio pubblicato nel mese di maggio 2013. Questo potrebbe aver spinto il botmaster di ZeroAccess ad aggiornare il sistema per evitare tentativi di neutralizzazione della botnet.

Leggi anche:  Security Summit Cagliari, partecipazione e dibattito sui temi dell’innovazione digitale e della cyber security

Avendo osservato come iniziassero a essere implementate le modifiche, e con un piano realizzabile già pronto, ci siamo trovati di fronte a una scelta: iniziare subito le operazioni o rischiare di perdere l’iniziativa. Il 16 luglio abbiamo iniziato a neutralizzare le infezioni di ZeroAccess. Questa operazione ha rapidamente portato allo scollegamento di più di mezzo milione di bot, riducendo notevolmente il numero di bot controllati dal botmaster. Durante i test, in media erano necessari appena 5 minuti di attività P2P per poter neutralizzare un nuovo bot ZeroAccess. Per comprendere l’impatto potenziale di questa operazione, è necessario prendere in considerazione lo scopo per cui viene utilizzata la botnet ZeroAccess.

ZeroAccess: il servizio di corriere

Per la sua struttura e il tipo di comportamento, ZeroAccess sembra progettata principalmente per distribuire payload ai computer infetti. In una botnet ZeroAccess, l’attività produttiva (dal punto di vista dell’autore di un attacco) viene eseguita dai payload scaricati nei computer compromessi, che si dividono in due tipologie di base, entrambe destinate ad attività in grado di generare un guadagno.

Click fraud

Il primo tipo di payload che abbiamo osservato è il trojan click fraud. Questo trojan scarica inserzioni pubblicitarie online nel computer e quindi genera dei clic artificiali sulle pubblicità come se fossero stati generati da utenti autorizzati. Questi falsi clic vengono conteggiati per i payout negli schemi di affiliazione pay-per-click (PPC).

Bitcoin mining

La valuta virtuale attrae gli autori di crimini informatici per diversi motivi. Il modo in cui è generato ogni bitcoin è basato sull’esecuzione di operazioni matematiche note come “mining” sull’hardware di elaborazione. Quest’attività presenta un valore diretto per il botmaster e un costo per le vittime ignare. Abbiamo analizzato da vicino l’aspetto economico e l’impatto di quest’attività utilizzando alcuni vecchi computer disponibili nei nostri laboratori.

I vantaggi economici di ZeroAccess

Spinti dalla curiosità, abbiamo preso alcuni vecchi sistemi hardware che avevamo in ufficio per testare il tipo d’impatto che avrebbe la botnet ZeroAccess in termini di consumo energetico e i vantaggi economici derivanti da queste attività. Abbiamo esaminato sia il click fraud sia il bitcoin mining, con particolare attenzione per il secondo elemento, perché potenzialmente è l’attività più intensiva eseguita dai bot e presenta un valore economico diretto per il botmaster. Abbiamo infettato i computer del laboratorio di testing con ZeroAccess e quindi li abbiamo configurati per il bitcoin mining. Avevamo anche a disposizione un computer di controllo pulito, che poteva solamente restare inattivo. Abbiamo collegato i computer ai misuratori di potenza per determinare la quantità di energia consumata dai computer sottoposti al test. Abbiamo ottenuto dei risultati interessanti.

Leggi anche:  Veeam, la sicurezza del dato come abilitatore del business

 

 

Specifiche dei computer di testing:

Modello: Dell OptiPlex GX620 Pentium D 945 da 3,4 GHz con 2 GB di RAM (TDP 95 W max)

Consumo energetico misurato all’ora: 136,25 watt (mining)

Consumo energetico misurato all’ora: 60,41 watt (inattivo)

MHash/S: 1,5

Presupponendo i seguenti dettagli per il bitcoin mining:

Rapporto bitcoin/dollari: 131

Fattore di difficoltà bitcoin: 86933017,7712

Bitcoin mining

Con questo tipo di attrezzatura, eseguire il bitcoin mining con un solo computer sarebbe risultato del tutto inutile. Utilizzare questa attrezzatura per un anno intero avrebbe reso solo 0,41 dollari. Ma con 1,9 milioni di bot disponibili, il risultato dell’equazione è del tutto diverso. In questo caso la botnet potrebbe generare migliaia di dollari al giorno. Naturalmente, non tutti i computer saranno disponibili ogni giorno per tutto il giorno e ciascun computer in una botnet avrà livelli di prestazioni, tempi di caricamento e periodi di attività differenti, di conseguenza questa cifra è una semplice approssimazione. Per le nostre stime, presupponiamo che tutti questi bot siano operativi 24 ore su 24 e che ogni bot presenti le stesse specifiche dei nostri computer di testing.

Click fraud

I bot che eseguono operazioni di click fraud sono piuttosto attivi. Nei nostri test, ogni bot ha generato circa 257 MB di traffico di rete all’ora o 6,1 GB al giorno. Inoltre, hanno generato circa 42 falsi clic sulle pubblicità all’ora (1008 al giorno). Se ogni clic può rendere un centesimo o anche meno, con 1,9 milioni di computer infetti, l’autore dell’attacco sta potenzialmente generando decine di milioni di dollari all’anno.

Ora che conosciamo il valore potenziale di queste attività, analizziamo i costi in termini di consumo elettrico che derivano dall’esecuzione di una botnet di questo tipo.

I costi energetici

Per determinare il costo di ZeroAccess per l’ignara vittima, abbiamo calcolato la differenza tra il costo del bitcoin mining e il costo del computer inattivo. Il risultato è pari a 1,82 KWh extra al giorno, una quantità non molto significativa per una sola vittima.

Leggi anche:  Kaspersky: i prodotti IT non autorizzati sono un rischio per le aziende

Energia utilizzata durante il mining: (136,25/1000)*24 = 3,27 KWh al giorno

Energia utilizzata durante l’inattività: (60,41/1000)*24 = 1,45 KWh al giorno

Differenza: 1,82 KWh al giorno

Questi risultati forniscono alcune indicazioni utili dei requisiti di alimentazione aggiuntivi per il bitcoin mining in un singolo computer infettato da ZeroAccess. Ora è possibile applicare questi dati a 1,9 milioni di bot e determinare il potenziale costo/impatto totale per l’intera botnet.

Se ogni KWh di elettricità costa 0,162 dollari, eseguire il mining in un singolo bot per 24 ore costerebbe 0,29 dollari. Moltiplichiamo questa cifra per 1,9 milioni per l’intera botnet e il risultato sarà un consumo energetico di 3.458.000 KWh (3.458 MWh, una quantità sufficiente a fornire energia elettrica a più di 111.000 case ogni giorno). Questa quantità di energia è notevolmente superiore alla produzione della centrale elettrica più grande della California, Moss Landing, che è in grado di generare 2.484 MW (a cui corrisponderebbe una bolletta pari a 560.887 dollari al giorno). Nonostante i costi, tutta questa energia produrrà bitcoin per un valore di soli 2.165 dollari al giorno! Con questo tipo di risultati, non sarebbe conveniente eseguire il bitcoin mining con un’attrezzatura del genere se fosse necessario sostenerne personalmente i costi. Ma se si esegue il bitcoin mining a spese di qualcun altro, il quadro cambia completamente e la prospettiva diventa molto allettante.

Bloccare le botnet P2P è difficile ma non impossibile

Questo test ha dimostrato che, nonostante l’architettura P2P resiliente della botnet ZeroAccess, è comunque possibile neutralizzare un’ampia porzione di bot. Ciò significa che tali bot non saranno più in grado di ricevere alcun comando dal botmaster e non risulteranno disponibili per la botnet, sia per la trasmissione dei comandi che per l’aggiornamento o la creazione di nuovi schemi per la generazione di un guadagno.

Allo stesso tempo, Symantec ha collaborato con ISP e CERT di tutto il mondo per condividere le informazioni acquisite e consentire la pulizia dei computer infetti.

Abbiamo anche creato un’infografica che riassume gli elementi e le cifre chiave relative al trojan ZeroAccess.

Si desiderano maggiori informazioni?

Ross Gibbs e Vikram Thakur presenteranno i risultati di questa operazione nel corso della Virus Bulletin Conference, che si terrà a Berlino dal 2 al 4 ottobre 2013. Inoltre, presto sarà pubblicato un approfondito white paper che illustrerà in dettaglio le caratteristiche della minaccia ZeroAccess.