Zoombie i botnety

Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
Zoombie i botnety
Autor: piotr
22.07.2008.
Zmieniony 30.07.2010.
Botnety istnieją od około 10 lat, eksperci raz po raz ostrzegają o zagrożeniu z ich strony. Mimo to wielu
użytkowników nie zdaje sobie sprawy z niebezpieczeństw stwarzanych przez komputery-zombie, tzn.
dopóki nie zostaną odłączeni od sieci przez swojego dostawcę usług internetowych albo z ich kart
kredytowych nie znikną pieniądze. Kaspersky Lab opublikował pierwszy z serii artykułów dotyczących
botnetów.
Źródło: VirusList.pl - Kaspersky Lab
RYS HISTORYCZNY
Historia botnetów rozpoczęła się w latach 1998-1999, gdy pojawiły się pierwsze backdoory - NetBus oraz
BackOrifice2000. Zawierały one pełny zestaw funkcji, które umożliwiają zdalne zarządzanie
zainfekowanymi komputerami. Działały jak serwery sieciowe - otwierały predefiniowany port i biernie
czekały na połączenie się osoby kontrolującej.
Boty następnej generacji łączyły się już z serwerami IRC (ang. Internet Relay Chat) na predefiniowanym
kanale jako goście, gdzie czekały na wiadomości od właściciela sieci zombie. Tak powstały pierwsze
scentralizowane botnety, które później określono jako C&C (ang. Command & Control Center).
Kolejny etap ewolucji botnetów charakteryzował się przeniesieniem centrów kontroli do sieci WWW.
Najpierw hakerzy opracowali narzędzia do zdalnej kontroli serwerów oparte na popularnych silnikach
skryptowych, takich jak Perl oraz PHP. Potem powstała metoda, dzięki której komputer znajdujący się w
sieci lokalnej mógł połączyć się z serwerem w internecie. Botnety zorientowane na sieć okazały się tak
wygodnym rozwiązaniem, że do dziś cieszą się dużą popularnością.
Próbowano konstruować także botnety kontrolowane za pomocą usług IM (ang. Instant Messenger).
Takie botnety nigdy się jednak szeroko nie rozpowszechniły, głównie dlatego, że wymagają utworzenia
kont IM. Ciężko jest automatycznie zarejestrować dużą liczbę kont, ponieważ chroniące przed tym
systemy są nieustannie modyfikowane.
Po wypróbowaniu wszystkich dostępnych protokołów osoby tworzące sieci zombie zainteresowały się
architekturą sieciową. Okazało się, że botnety o klasycznej strukturze (tj. z dużą liczbą botów i jednym
centrum kontroli) są bardzo podatne na ataki, ponieważ opierają się na krytycznym węźle - centrum
kontroli. W zeszłym roku powstały pozbawione go botnety P2P. Tutaj właściciel sieci może wysłać
polecenie do jednego tylko komputera-zombie, a boty automatycznie roześlą je po całym botnecie.
BOTNETY P2P
Najbardziej jaskrawym przykładem sieci tego typu jest botnet robaka Storm. Laboratoria antywirusowe
od stycznia 2007 roku wykrywają od trzech do pięciu nowych wariantów tego szkodnika dziennie
(Kaspersky Lab klasyfikuje go jako Email-Worm.Win32.Zhelatin).
Szacunki dotyczące rozmiaru stworzonej przez niego sieci wahają się od 50 tys. do 10 mln komputerówzombie. Przypuszcza się, że oprócz masowego rozsyłania spamu botnet ten został użyty w wielu
przeprowadzonych na dużą skalę atakach DDoS. Według niektórych ekspertów jest on odpowiedzialny za
cyberatak na Estonię w 2007 roku.
Innym interesującym botnetem jest Mayday. Szkodnik, klasyfikowany przez laboratoria Kaspersky Lab
jako Backdoor.Win32.Mayday, został wykryty pod koniec listopada 2007 roku, od tego czasu powstało
ponad 20 jego mutacji. Tworzony przez niego botnet opiera się na architekturze P2P, jednocześnie
zawiera jednak centrum C&C wykorzystujące mechanizm określany jako CGI (ang. Common Gateway
Interface).
Na całym świecie wykryto sześć różnych serwerów (w Wielkiej Brytanii, Stanach Zjednoczonych, Holandii
i Niemczech), z którymi łączyły się boty podczas tworzenia botnetu. Na początku marca 2008 roku działał
tylko jeden serwer, na którym było zarejestrowanych około 3 tys. botów.
We współpracy z organami ścigania Kaspersky Lab zdołał uzyskać kopię programu wykorzystywanego w
http://www.witczak.priv.pl
Kreator PDF
Utworzono 4 March, 2017, 05:22
Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT
centrum C&C. Analiza jego struktury wykazała, że był to poważny projekt rozwojowy, który wymagał
dobrze zorganizowanego zespołu programistów. Aby stworzyć oprogramowanie dla botnetu Mayday,
cyberprzestępcy musieli pracować nad dwoma projektami - zarówno dla systemu Windows, jak i Linux.
BOTNETOWY BIZNES
Odpowiedzi na pytania, dlaczego botnety nadal ewoluują, dlaczego stanowią coraz poważniejsze
zagrożenie, należy szukać na czarnym rynku, który powstał dla takich programów. Aby zdobyć botnet,
cyberprzestępcy nie potrzebują dziś ani specjalistycznej wiedzy, ani dużych pieniędzy.
Pierwszą rzeczą, niezbędną do stworzenia sieci zombie, jest bot, tj. program, który bez wiedzy
użytkownika potrafi zdalnie wykonywać pewne czynności na jego komputerze. Ceny botów wahają się od
5 do 1000 dolarów w zależności od skali botnetu oraz tego, czy jest on wykrywany przez produkty
antywirusowe, jakie polecenia obsługuje itd.
Prosty botnet zorientowany na sieć wymaga strony hostingowej, na której może zostać zlokalizowane
centrum C&C. Dostawcy anonimowych usług hostingowych gwarantują zwykle, że do plików dziennika
nikt nie uzyska dostępu, łącznie z organami ścigania.
Po stworzeniu strony C&C potrzebne są komputery zainfekowane przez bota. Można zakupić gotową sieć,
w której zainstalowany jest bot jakiejś innej osoby. Ponieważ kradzież botnetów jest powszechną
praktyką, większość kupujących woli wymienić zarówno szkodliwe programy, jak i centra C&C na swoje
własne.
Stworzenie nowego botnetu również nie jest trudne - dostępne są narzędzia ułatwiające to zadanie.
Najpopularniejsze z nich to pakiety oprogramowania, takie jak Mpack, Icepack i WebAttacker. Infekują
one systemy użytkowników, którzy odwiedzają odpowiednio spreparowaną stronę internetową za
pośrednictwem luk w zabezpieczeniach przeglądarek.
Właściciele botnetów wykorzystują poza tym szereg różnych metod w celu zachowania kontroli nad
swoimi sieciami, z których najbardziej skuteczną jest ochrona szkodliwych programów przed wykryciem.
Czarny rynek oferuje szereg różnych usług związanych z szyfrowaniem, pakowaniem i zaciemnianiem
złośliwego kodu.
Powstrzymanie rozwoju przemysłu botnetowego w tym momencie nie jest możliwe - twierdzą eksperci z
zakresu bezpieczeństwa. Cała treść artykułu, autorstwa starszego analityka wirusów Witalija Kamluka,
dostępna jest w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.
Źródło: VirusList.pl - Kaspersky Lab
http://www.witczak.priv.pl
Kreator PDF
Utworzono 4 March, 2017, 05:22