Unieszkodliwienie botnetów Dorkbot

Data publikacji: 04/12/2015, piotrk

Wspólnie z firmami Microsoft oraz ESET i we współpracy z US-CERT/DHS, FBI, Interpolem i Europolem wzięliśmy udział w działaniach mających na celu unieszkodliwienie grupy botnetów Dorkbot. Kulminacja tych działań – destabilizacja botnetów – miała miejsce 3 grudnia. Dorkbot to złośliwe oprogramowanie, funkcjonujące w sieci od 2011, którego głównym celem jest kradzież danych (w tym danych uwierzytelniających), wyłączenie aplikacji bezpieczeństwa (np. programów antywirusowych) i dystrybucja innego złośliwego oprogramowania. Według wstępnych danych szacunkowych w ostatnim roku Dorkbot zainfekował co najmniej milion komputerów z systemem Windows na całym świecie, a średnia miesięczna infekcji wynosiła około 100 tysięcy maszyn. Wśród celów byli również internauci z Polski.

Na czym polegał nasz udział?

Warto podkreślić, że w przeszłości część infrastruktury do zarządzania Dorkbotem znajdowała się w Polsce. Udział naszego zespołu w przedsięwzięciu polegał na analizie i dostarczaniu informacji o zasadach funkcjonowania botnetu i innych danych dotyczących istniejących botnetów, a także konsultacjach w sprawie odpowiedniego sposobu prowadzenia działań. W efekcie naszych wspólnych działań w międzynarodowym konsorcjum, infrastruktura zarządzająca botnetami została unieszkodliwiona i przekierowana na sinkhole.

Co wiemy o Dorkbocie?

Po raz pierwszy na większą skalę zetkneliśmy się z Dorkbotem jesienią 2012 roku, kiedy zaczął propagować się przez komunikator Skype wśród polskich użytkowników. Poza komunikatorami, Dorkbot również rozprzestrzeniał się przez serwisy społecznościowe oraz nośniki USB. Podjęliśmy się wtedy analizy tego zagrożenia, a także zaczęliśmy mu przeciwdziałać, przejmując kilka domen .pl służących do jego zarządzania i przekierowując je na nasz sinkhole. Były to nasze pierwsze domeny, które w ten sposób unieszkodliwiliśmy. Domeny wykorzystywane przez Dorkbota były również powiązane z rejestratorem Domain Silver, którego wszystkie domeny przejęliśmy w połowie 2013 roku.

O ile konstrukcja botnetu oparta na protokole IRC – patrząc z dzisiejszej perspektywy – nie jest skomplikowana, główne zagrożenie tkwi w możliwości pracy jako dropper (instalator) dla innych zagrożeń (podobny model biznesowy miał unieszkodliwiony przez nas polski botnet o nazwie Virut). Według naszych szacunków obecnie skala infekcji Dorkbotem w Polsce jest niewielka. Niezależnie od sytuacji w Polsce, biorąc udział w tego typu przedsięwzięciach przyczyniamy się do poprawy bezpieczeństwa wszystkich internautów – w tym także zapobiegamy ewentualnym przyszłym atakom na polskich użytkowników sieci. Oszacowanie rzeczywistej skali infekcji możliwe będzie dopiero po zebraniu danych z sinkhola.

Jak usunąć zagrożenie ze swojego komputera?

Wykrycie i usunięcie zagrożenia możliwe jest m.in. przez narzędzie Microsoft Malicious Software Removal Tool. Rownież ESET opublikował specjalne narzędzie do usuwania zagrożenia, o nazwie Dorkbot Cleaner.

Gdzie można się dowiedzieć więcej?

Więcej szczegółów technicznych dotyczących unieszkodliwienia zagrożenia i kampanii wymierzonej w Dorkbot, w tym dane statystyczne a także zestawienie oprogramowania instalowanego przez Dorkbota, znajduje się na blogu Microsoft MMPC.

Międzynarodowe konsorcjum wymierzone w działalność Dorkbota zorganizowane było z inicjatywy Microsoftu w ramach programu Common Malware Eradication (CME).