เฟสตี้

Festiเป็นรูทคิตและบอทเน็ตที่รู้จักกันในชื่อเล่นว่าSpamnostและส่วนใหญ่เกี่ยวข้องกับการส่งสแปมทางอีเมลและการโจมตีแบบปฏิเสธการให้บริการ (Denial of Service ) มันทำงานบนระบบปฏิบัติการตระกูล Windows ฤดูใบไม้ร่วงปี 2552 ^{[ 1 ] [ 2 ]}เป็นครั้งแรกที่ Festi ปรากฏสู่สายตาของบริษัทที่เกี่ยวข้องกับการพัฒนาและจำหน่ายซอฟต์แวร์ป้องกันไวรัสในเวลานั้นมีการประเมินว่าบอทเน็ตประกอบด้วยเครื่องที่ติดเชื้อประมาณ 25,000 เครื่อง ในขณะที่มีความสามารถในการส่งสแปมได้ประมาณ 2.5 พันล้านอีเมลต่อวัน^{[ 3 ] [ 4 ] [ 5 ]} Festi แสดงกิจกรรมสูงสุดในปี 2554-2555 ^{[ 6 ] [ 7 ]}การประเมินล่าสุด - ลงวันที่สิงหาคม 2555 - แสดงให้เห็นว่าบอทเน็ตกำลังส่งสแปมจากที่อยู่ IP ที่ไม่ซ้ำกัน 250,000 แห่ง ซึ่งคิดเป็นหนึ่งในสี่ของจำนวน IP ทั้งหมดหนึ่งล้านแห่งที่ตรวจพบว่าส่งอีเมลสแปม^{[ 8 ]}ฟังก์ชันหลักของบอทเน็ต Festi คือการส่งสแปมและการดำเนินการโจมตีทางไซเบอร์เช่น " การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย " ^{[ 9 ]}

การแจกจ่ายดำเนินการโดยใช้รูปแบบ PPI (จ่ายต่อการติดตั้ง) ^{[ 10 ]}เพื่อป้องกันการตรวจจับโดยโปรแกรมป้องกันไวรัส ตัวโหลดจะขยายการเข้ารหัส^{[ 10 ]}ซึ่งทำให้การตรวจจับตาม ลายเซ็น ซับซ้อนขึ้น

ข้อมูลทั้งหมดเกี่ยวกับสถาปัตยกรรมของบอทเน็ตที่เรารวบรวมมาจากการวิจัยของบริษัท ESET Antivirus ^{[ 10 ] [ 11 ] [ 12 ]} ตัวโหลดจะดาวน์โหลดและตั้งค่าบอทซึ่งเป็นไดรเวอร์โหมดเคอร์เนลที่เพิ่มตัวเองลงในรายการไดรเวอร์ที่เริ่มต้นพร้อมกับระบบปฏิบัติการบนฮาร์ดดิสก์ไดรฟ์จะจัดเก็บเฉพาะส่วนของบอทที่รับผิดชอบในการสื่อสารกับศูนย์บัญชาการและการโหลดโมดูล หลังจากเริ่มต้นบอทแล้ว บอทจะขอการกำหนดค่า การโหลดโมดูล และงานที่จำเป็นสำหรับการดำเนินการจากศูนย์บัญชาการเป็นระยะ

จากการวิจัยที่ดำเนินการโดยผู้เชี่ยวชาญของบริษัทแอนติไวรัสESETพบว่า Festi มีอย่างน้อยสองโมดูล โมดูลหนึ่งมีไว้สำหรับส่งสแปม (BotSpam.dll) อีกโมดูลหนึ่งมีไว้สำหรับการโจมตีทางไซเบอร์ เช่น "การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย" (BotDoS.dll) โมดูลสำหรับการโจมตีทางไซเบอร์ เช่น "การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย" รองรับการโจมตีทางไซเบอร์ประเภทต่อไปนี้ ได้แก่ TCP-flood, UDP-flood, DNS-flood, HTTP(s)-flood และการส่งแพ็กเก็ตแบบสุ่มในโปรโตคอลที่ใช้

ผู้เชี่ยวชาญจาก " Kaspersky Lab " ที่ทำการวิจัยเกี่ยวกับบอทเน็ตได้สรุปว่ามีโมดูลมากกว่านี้ แต่ไม่ได้ถูกใช้งานทั้งหมด รายชื่อโมดูลเหล่านั้นรวมถึง โมดูลสำหรับการใช้งานเซิร์ฟเวอร์ SOCKS (BotSocks.dll) พร้อมโปรโตคอล TCP และ UDP โมดูลสำหรับการดูและควบคุมคอมพิวเตอร์ของผู้ใช้จากระยะไกล (BotRemote.dll) โมดูลสำหรับการค้นหาในดิสก์ของคอมพิวเตอร์ระยะไกลและในเครือข่ายท้องถิ่น (BotSearch.dll) ที่คอมพิวเตอร์ระยะไกลเชื่อมต่ออยู่ และโมดูลจับภาพสำหรับเบราว์เซอร์ทั้งหมดที่รู้จักในปัจจุบัน (BotGrabber.dll)

โมดูลต่างๆ จะไม่ถูกบันทึกไว้ในฮาร์ดดิสก์ ซึ่งทำให้การตรวจจับโมดูลเหล่านั้นเป็นไปได้ยากมาก

บอทใช้โมเดลไคลเอ็นต์-เซิร์ฟเวอร์และในการทำงานจะใช้โปรโตคอลการสื่อสารเครือข่ายของตนเองกับศูนย์บัญชาการ ซึ่งใช้สำหรับรับการกำหนดค่าของบอทเน็ต การโหลดโมดูล และการรับงานจากศูนย์บัญชาการ รวมถึงการแจ้งเตือนศูนย์บัญชาการเกี่ยวกับการดำเนินการ ข้อมูลจะถูกเข้ารหัสซึ่งทำให้ยากต่อการระบุเนื้อหาของการรับส่งข้อมูลเครือข่าย

ในระหว่างการติดตั้ง บอทจะปิดไฟร์วอลล์ของระบบซ่อนไดรเวอร์โหมดเคอร์เนลและคีย์รีจิสทรีของระบบที่จำเป็นสำหรับการโหลดและการทำงาน ป้องกันตัวเองและคีย์รีจิสทรีจากการลบ การทำงานกับเครือข่ายเกิดขึ้นในระดับต่ำ ซึ่งช่วยให้สามารถหลีกเลี่ยงตัวกรองเครือข่ายของซอฟต์แวร์ป้องกันไวรัสได้ง่าย การใช้งานตัวกรองเครือข่ายจะถูกตรวจสอบเพื่อป้องกันการติดตั้ง บอทจะตรวจสอบว่ากำลังทำงานอยู่ภายใต้เครื่องเสมือน หรือไม่ หากผลการตรวจสอบเป็นบวก บอทจะหยุดการทำงาน Festi จะตรวจสอบการมีอยู่ของดีบักเกอร์ เป็นระยะ และสามารถลบเบรกพอยต์ได้

Festi ถูกสร้างขึ้นโดยใช้ เทคโนโลยี การพัฒนาซอฟต์แวร์เชิงวัตถุซึ่งทำให้การวิจัยด้วยวิธีการวิศวกรรมย้อนกลับ มีความซับซ้อนมากขึ้น และทำให้บอทสามารถพอร์ตไปยังระบบปฏิบัติการอื่นได้อย่างง่ายดาย

การควบคุมบอทเน็ต Festi ทั้งหมดดำเนินการผ่านทางเว็บอินเทอร์เฟซและดำเนินการผ่านทางเบราว์เซอร์

ตามที่ผู้เชี่ยวชาญของบริษัทแอนติไวรัส ESET ^{[ 12 ] นักข่าวและบล็อกเกอร์ชาวอเมริกัน Brian Krebs [ 13 ] ผู้เชี่ยวชาญด้านความ}ปลอดภัยของข้อมูล^{ตามที่}นักข่าวชาวอเมริกันของ หนังสือพิมพ์ The New York Times Andrew Kramer ^{[ 14 ]}และจากแหล่งข่าวที่ใกล้ชิดกับหน่วยข่าวกรองรัสเซีย ผู้สร้างและผู้พัฒนาบอทเน็ต Festi คือแฮกเกอร์ชาวรัสเซียIgor Artimovich

โดยสรุปแล้ว อาจกล่าวได้ว่าบอทเน็ต Festi เป็นหนึ่งในบอทเน็ตที่ทรงพลังที่สุดสำหรับการส่งสแปมและการโจมตี เช่น "การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย" หลักการสร้างบอทเน็ต Festi นั้นมุ่งเน้นการเพิ่มอายุการใช้งานของบอทในระบบให้นานที่สุด ขัดขวางการตรวจจับบอทโดยซอฟต์แวร์ป้องกันไวรัสและตัวกรองเครือข่าย กลไกของโมดูลช่วยให้สามารถขยายฟังก์ชันการทำงานของบอทเน็ตได้ในทุกด้าน โดยการสร้างและโหลดโมดูลที่จำเป็นสำหรับวัตถุประสงค์ต่างๆ และวิธีการพัฒนาแบบเชิงวัตถุทำให้การวิจัยบอทเน็ตซับซ้อนขึ้นโดยใช้วิธีการวิศวกรรมย้อนกลับ และเปิดโอกาสให้สามารถพอร์ตบอทไปยังระบบปฏิบัติการอื่นๆ ได้โดยการกำหนดขอบเขตที่แม่นยำของฟังก์ชันการทำงานเฉพาะสำหรับระบบปฏิบัติการนั้นๆ และตรรกะที่เหลือของบอท ระบบการตอบโต้การตรวจจับและการดีบักที่ทรงพลังทำให้บอท Festi แทบจะมองไม่เห็นและซ่อนตัวได้อย่างแนบเนียน ระบบการผูกและการใช้ศูนย์บัญชาการสำรองทำให้สามารถกู้คืนการควบคุมบอทเน็ตได้หลังจากเปลี่ยนศูนย์บัญชาการ Festi เป็นตัวอย่างที่ผิดปกติของซอฟต์แวร์ที่เป็นอันตรายเนื่องจากผู้เขียนได้ดำเนินการพัฒนาซอฟต์แวร์นี้อย่างจริงจังมาก^{[ 15 ]}

• บอทเน็ต
• มัลแวร์
• สงครามไซเบอร์

• บอทเน็ต 10 อันดับแรกและผลกระทบของมัน 9 ธันวาคม 2552 บอทเน็ต 10 อันดับแรกและผลกระทบของมัน Help Net Security
• บอทเน็ตส่งสแปม 10 อันดับแรกที่ "เป็นที่ต้องการตัวมากที่สุด" ได้แก่ Rustock, Mega-D, Festi และ Pushdo จัดอยู่ในกลุ่มบอทเน็ตที่ก่ออาชญากรรมร้ายแรงที่สุด 15 กรกฎาคม 2553 โดย Ellen Messmer จาก Network World
• ยุคใหม่ของบอทเน็ต: เอกสารวิจัย
• บอทเน็ต Festi เข้ายึดครองระบบหลังจาก Grum ถูกปิดตัวลง 17 สิงหาคม 2555 ComputerWorld UK
• บอทเน็ตสแปม: การล่มสลายของ Grum และการผงาดขึ้นของ Festi, 16 สิงหาคม 2555, โทมัส มอร์ริสัน, SPAMHAUS
• Spamhaus: Grum Dead, Festi Alive and Well 22 สิงหาคม 2012, Malcolm James, All Spammed Up เก็บถาวรเมื่อ 18 เมษายน 2018 ที่Wayback Machine
• ภัยคุกคามจากบอทเน็ตทั่วโลก 14 พฤศจิกายน 2012, MacAfee