Французская полиция и компания Avast провели операцию, в рамках которой они обезвредили ботнет из более 850 тысяч компьютеров, зараженных вредоносным программным обеспечением. Особенность операции заключается в том, что для этого программисты скопировали код вредоносного сервера, заменили его на модифицированную копию и от его лица разослали на зараженные компьютеры код для деактивации, рассказывают разработчики в блоге Avast.
Ботнет — это сеть из компьютеров, зараженных вредоносным программным обеспечением. Одна из особенностей ботнетов заключается в том, что чаще всего они не вмешиваются в работу пользовательского программного обеспечения и работают в скрытом режиме. Зачастую их применяют для майнинга криптовалюты, DDoS-атак и других задач, в которых выгодно использовать большое количество компьютеров. Обычно ботнеты работают не автономно, а под управлением сервера контроля и управления. С него зараженные компьютеры получают команды, а также зачастую присылают на него собранную информацию, криптовалюту или другие данные.
Исследователи в области информационной безопасности из компании Avast начали пристально изучать работу ботнета Retadup в марте 2019 года. Он представляет собой компьютерный червь, распространившийся в основном в странах Латинской Америки. Кроме того, он заразил компьютеры в США, России и некоторых странах Азии, например, Пакистане и Узбекистане. Он привлек внимание исследователей из-за криптомайнера, добывающего криптовалюту Monero на зараженных компьютерах. На момент публикации отчета злоумышленники успели добыть примерно 4200 долларов в криптовалюте.
Специалисты обнаружили, что большая часть серверов управления и контроля расположены во Франции, поэтому они обратились к полиции этой страны, предложив ей захватить сервер и через него обезвредить зараженные компьютеры. Пока полиция получала разрешение от прокуратуры, исследователи нашли уязвимость в протоколе общения зараженных компьютеров в серверами, позволяющую удалить червь с зараженных компьютеров. Они не раскрыли подробности этой уязвимости, но отметили, что для этого не понадобилось рассылать на компьютеры дополнительный код для удаления.
Власти Франции согласились с такой схемой и запросила у хостера копию данных на сервере, а затем предоставила ее компании. Специалисты смогли расшифровать их и разработать модифицированный вариант программного обеспечения, который затем незаметно установили взамен оригинального на тот же хостинг-сервис. Это позволило нейтрализовать более 850 тысяч компьютеров, зараженных вредоносным программным обеспечением. Примечательно, что анализ сервера показал, что он был заражен другим вредоносным программным обеспечением Neshta.
Некоторые вредоносные программы используют такую же схему с получением команд из внешнего источника, но используют в качестве него не сервер злоумышленников, а публичный сервис. В конце 2018 года исследователи из компании Trend Micro обнаружили троян, который принимает в качестве команд мемы в твиттере, в которых зашифрованы послания от злоумышленников.
Григорий Копиев