ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Ботнеты: машина не тормозит, просто рассылает спам

Поймали заражённую машину не антивирусом, а по аномалии исходящего трафика. Как ботнеты превратились в тихую угрозу и почему начали отдельно следить за исходящей почтой.

Контекст момента

пик роста первых массовых ботнетов и целевого фишинга по корпоративным пользователям

Был один клиент, у которого всё работало исправно. Машины не тормозили, пользователи не жаловались, антивирус молчал. Мы сами это проверили при плановом визите - ничего подозрительного. Через неделю провайдер прислал письмо: с их сети идёт массовая рассылка спама, просьба разобраться, иначе адрес попадёт в блокировки.

Вот тут стало интересно.

Как мы это нашли

Первый инстинкт - антивирус. Запустили полную проверку на нескольких машинах. Нашли пару старых следов, давно неактивных. Ничего, что объяснило бы спам-рассылку.

Второй шаг - посмотреть, что реально происходит в сети. У этого клиента трафик на тот момент мы не писали в деталях, но смогли вытащить статистику с роутера. Исходящий SMTP-трафик во второй половине рабочего дня и ночью - не через наш почтовый шлюз, а напрямую, на порт 25, с нескольких разных машин. Небольшими порциями, с паузами. На первый взгляд - ничего. Но когда сложить это за сутки, объём выходил неприличный.

Дальше - перебор машин. На одной из них нашли процесс с безобидным именем, прибитый к автозагрузке через ветку реестра, которую обычно не смотришь в первую очередь. Ничего не падало, ничего не жрало заметно ресурсов. Процесс просто сидел тихо и в определённое время начинал отправлять почту - используя встроенный SMTP-движок, без Outlook, без какого-либо почтового клиента. Антивирусной базе он был незнаком.

Машину изолировали, почистили, проверили остальных - нашли ещё одну такую же. Суммарно две заражённые машины на офис из пятнадцати.

Чем это отличается от того, к чему мы привыкли

До этого момента вредоносное ПО в большинстве случаев как-то себя выдавало. Blaster перезагружал машины - это было видно немедленно. Другие вещи замедляли работу, роняли браузер, лезли с поп-апами. Пользователь замечал, звонил, мы приезжали.

Здесь принцип другой. Цель - не навредить машине. Цель - использовать её незаметно. Пока пользователь не жалуется и антивирус не орёт, заражение может существовать сколько угодно долго. Машина остаётся в строю, выполняет свою работу, а параллельно является частью чужой рассылочной инфраструктуры. Неплохой бизнес, если смотреть с нужной стороны.

Это и есть ботнет в чистом виде: сеть машин, которые управляются централизованно и выполняют задачи без ведома владельца. Масштаб тут не важен - у кого-то это два компьютера в офисе, у кого-то тысячи машин по всему миру.

Фишинговые письма, которые подселяют такие программы, к этому времени заметно подросли в качестве. Больше никаких «Вы выиграли миллион» с явной опечаткой в каждом слове. Письма стали имитировать деловую переписку: уведомление от банка, документ от контрагента, счёт на оплату. Пользователь открывает вложение - потому что оно выглядит как настоящее.

Что поменяли после

Закрыли прямой SMTP наружу. Весь исходящий почтовый трафик теперь идёт только через наш шлюз. Машины в сети не должны иметь возможности отправить письмо напрямую в интернет, минуя его. Это делается одним правилом на межсетевом экране - запретить исходящий 25-й порт для всего, кроме самого шлюза.

Начали смотреть на исходящий трафик отдельно. Раньше мониторинг был сосредоточен на входящем: не ломятся ли снаружи, не падает ли канал. Исходящий воспринимался как данность - пользователи работают, трафик идёт. Сейчас это отдельная метрика: объём исходящего SMTP, количество соединений с внешними серверами на 25-м порту, общий объём исходящего трафика в разбивке по машинам. Аномалия - повод разбираться.

Завели регламент проверки автозагрузки. Не только антивирус при плановом визите, но и ручной осмотр того, что стартует вместе с системой. Реестр, папки автозагрузки, планировщик задач. Скучно, занимает время, но после этого случая - обязательно.

Поговорили с пользователями про вложения. Без паники и длинных инструкций: если письмо с вложением пришло неожиданно - даже от знакомого адресата - лучше уточнить по телефону, прежде чем открывать. Простое правило, которое срабатывает чаще, чем хотелось бы признавать.

Ситуация неприятная ещё и тем, что при таком заражении владелец машины - пострадавший, а выглядит как источник проблем. Провайдер видит спам с его адреса, попадает в блоклисты его репутация. Пока мы разберёмся с причиной, внешний ущерб уже нанесён. Лучший аргумент для превентивных мер, который мы пока нашли.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.