ZeroAccess botneti

ZeroAccess – bu Microsoft Windows operatsion tizimlariga taʼsir qiluvchi, troya oti algoritmida ishlovchi kompyutelar uchun moʻljallangan zararli dastur. U botnetdan virusli kompyuterga boshqa zararli dasturlarni yuklab olish uchun ishlatiladi. Shu bilan birga rootkit texnikasi yordamida antiviruslardan oʻzini yashira oladi[1].

Tarixi va targʻiboti

[tahrir | manbasini tahrirlash]

ZeroAccess botneti taxminan, 2011-yilning may oyida kashf etilgan[2]. Botnetning tarqalishi uchun mas’ul boʻlgan ZeroAccess rootkiti kamida 9 million tizimda mavjud boʻlgani taxmin qilinadi[3]. Manbalardagi hisob-kitoblar botnet hajmi orqali farqlanadi. Jumladan, antivirus sotuvchi Sophos 2012-yilning uchinchi choragida botnet hajmini taxminan, 1 million faol virusli dasturlarga teng deya baholagan. Kindsight xavfsizlik firmasi esa 2,2 million zararlangan va faol tizimlarni taxmin qilgan[4][5].

Ushbu botning oʻzini ZeroAccess rootkiti ostida turli hujum vektorlari orqali tarqatadi. Bu hujumlarning ichidagi vektorlardan biri bu ijtimoiy muhandislikning bir shakli boʻlib, unda foydalanuvchi zararli kodni qonuniy fayl sifatida yashirish yoki uni ijro etuvchi faylga qoʻshimcha foydali yuk sifatida yashirish orqali, masalan, mualliflik huquqini himoya qilishni chetlab oʻtish orqali (keygen) uni amalga oshirishga koʻndiriladi. Ikkinchi hujum vektoridan foydalanuvchi reklama tarmog'ida chiqqan biror bir reklamani bosishi orqali foydalaniladi. Ushbu bosish harakati „oʻljani“ zararli dasturiy taʼminot joylashgan saytga yoʻnaltiradi. Nihoyat, qoʻllanadigan uchinchi infeksiya vektori sheriklik sxemasi boʻlib, unda uchinchi tomon shaxslar tizimga rootkitni oʻrnatish uchun yollanishadi[6][7].

2013-yil dekabr oyida Microsoft boshchiligidagi koalitsiya botnet uchun „command and control“ tarmogʻini yoʻq qilish uchun harakat boshlaydi. Ushbu harakat samarasiz yaʼkunlanadi, chunki barcha C&C tizimlari qoʻlga kiritilmagan va ushbu sistemalari orasidagi komponentlar taʼsirlanmagan, yaʼni botnet hali ham xohlagancha yangilanishi mumkin edi[8].

Harakatlanishi

[tahrir | manbasini tahrirlash]

Tizim ZeroAccess rootkit bilan zararlangandan soʻng, ikkita asosiy botnet operatsiyalaridan birini boshlaydi: bitcoin mayning yoki click firibgarligi. Bitkoin mayning (qazib olish) bilan shugʻullanuvchi mashinalar oʻz kontrolleri uchun bitkoinlar ishlab chiqaradi. Ularning taxminiy qiymati 2012-yil sentyabr oyida yiliga 2,7 million AQSH dollarini tashkil etgan[9]. Click firibgarlik uchun ishlatiladigan dasturlar vebsaytlardagi virus-reklamalar orqali foydalanuvchi eʼtiborini tortish uchun qoʻllanadi. Ushbu faoliyat uchun hisoblangan foyda kuniga 100 000 AQSH dollarigadan yuqori boʻlishi mumkin[10][11]. Click firibgarligi sababali reklama beruvchilar kuniga 900 000 dollarga tushishadi[12].

Odatda, ZeroAccess virusli mashinaning asosiy yuklash yozuvi (MBR)ni oʻziga „yuqtiradi“. Muqobil ravishda C:\Windows\System32\Drivers-dagi tasodifiy drayverga oʻzini yuqtirishi mumkin. Bu harakat dasturga operatsion tizim ustidan toʻliq nazoratni taqdim etadi[manba kerak]. U shuningdek, Windows Security Center (Windows xavfsizlik markazi), Firewall (xavfsizlik devori) va Windows Defender kabi dasturlarni operatsion tizimdan oʻchiradi. ZeroAccess, shuningdek, click firibgarligiga koʻmak berish maqsadida oʻzini oʻzi TCP/IP stekiga ulaydi.

Dastur, shuningdek, Tidserv zararli dasturini qidiradi va topgandan soʻng, uni oʻchiradi[13].

  1. „Risk Detected“. www.broadcom.com.„Risk Detected“. www.broadcom.com.
  2. „Monthly Malware Statistics, May 2011“. securelist.com.
  3. Wyke. „Over 9 million PCs infected – ZeroAccess botnet uncovered“. Sophos (2012-yil 19-sentyabr). Qaraldi: 2012-yil 27-dekabr.
  4. Jackson Higgins. „ZeroAccess Botnet Surges“. Dark Reading (2012-yil 30-oktyabr). 2012-yil 3-dekabrda asl nusxadan arxivlangan. Qaraldi: 2012-yil 27-dekabr.
  5. Kumar. „9 million PCs infected with ZeroAccess botnet“. The Hacker News (2012-yil 19-sentyabr). Qaraldi: 2012-yil 27-dekabr.
  6. Wyke. „The ZeroAccess rootkit“. Sophos (2012-yil 4-aprel). Qaraldi: 2012-yil 27-dekabr.
  7. Mimoso. „ZeroAccess Botnet Cashing in on Click Fraud and Bitcoin Mining“. ThreatPost (2012-yil 30-oktyabr). 2012-yil 3-dekabrda asl nusxadan arxivlangan. Qaraldi: 2012-yil 27-dekabr.
  8. Gallagher. „Microsoft disrupts botnet that generated $2.7M per month for operators“. Ars Technica (2013-yil 6-dekabr). Qaraldi: 2013-yil 9-dekabr.
  9. Wyke. „The ZeroAccess Botnet: Mining and Fraud for Massive Financial Gain“. Sophos (Page 45). Qaraldi: 2012-yil 27-dekabr.
  10. Leyden. „Crooks can milk '1000k a day' from 1-million-zombie ZeroAccess army“. The Register (2012-yil 24-sentyabr). Qaraldi: 2012-yil 27-dekabr.
  11. Ragan. „Millions of Home Networks Infected by ZeroAccess Botnet“. SecurityWeek (2012-yil 31-oktyabr). Qaraldi: 2012-yil 27-dekabr.
  12. Dunn. „ZeroAccess bot has infected 2 million consumers, firm calculates“. Techworld (2012-yil 2-noyabr). Qaraldi: 2012-yil 27-dekabr.
  13. „Risk Detected“. www.broadcom.com.