Domů

Lovci botnetů

Přihlásit se
eArchiv

Lovci botnetů

Zombie neboli počítače ovládané hackery jsou nejnebezpečnější hrozbou internetu. Chip vám o nich prozradí vše důležité a také vám ukáže, jak se s botnety vypořádat.
PETR KRATOCHVÍL, MARKUS HERMANNSDORFER

V centru zpracování dat v německém Karlsruhe se rozezněl alarm: právě byl identifikován infikovaný počítač. Thorsten Kraft a jeho kolega z bezpečnostního oddělení velkého poskytovatele internetových služeb zjistili, že počítač patří jejich zákazníkovi. Okamžitě byl aktivován postup, který informoval zákazníka o infekci a který se pokusí riziko odstranit. Na první pohled zcela rutinní boj s jedním z největších rizik na internetu: rozsáhlou sítí botů, ve které hackeři sdružují ukořistěné a dálkově ovládané počítače.
Tyto počítače dnes mají "na svědomí" téměř veškeré DoS (Denial of Service) útoky, naprostou většinu spamu a podílejí se i na hackerských útocích. To nejen vyvolává stížnosti ostatních zákazníků (trpících nadměrným provozem v síti), ale také rapidně zvyšuje provozní náklady poskytovatele. Botnety jsou v zásadě výsledkem aktivit několika serverů (bývají označené jako Command and Control), řídících tisíce až miliony počítačů. Vše pomocí příkazů proudících obvykle přes IRC kanál (Internet Relay Chat) ovládá tzv. bot master. Rozsah příkazů může sahat od prostého "Pošlete tři miliony spamových mailů s falešnou viagrou" až k děsivému "Paralyzujte všechny vládní počítače pomocí DDoS útoku".
                                                                                                   "Jediným motivem pro vytváření botnetů je zisk"
                                                                                                     Jurij Namestnikov, virový specialista, Kaspersky Lab
Není tedy příliš překvapivé, že největší hráči světového internetu uzavřeli v rámci boje proti botnetům spojenectví. Mezi ty, kdož proti této hrozbě bojují, patří i "botnet chaser" (lovec botnetů) od firmy Panda Security, který stál za objevením botnetu "Mariposa", jedné z nejnebezpečnějších hrozeb loňského roku. Dalším známým členem týmu je firma Kaspersky Lab, jež zaměstnává analytiky virů (mezi nejznámější odborníky patří například Jurij Namestnikov), kteří provádějí analýzu struktury botnetů a vyvíjejí bezpečnostní opatření proti nim. Nyní se do "boje" částečně zapojujeme i my – kromě informací důležitých pro obranu počítače vám na DVD nabídneme i "antibotnet balíček" programů.

Honeypot: Botnet v pasti

Jednou z nejpoužívanějších metod v rámci boje proti botnetům jsou tzv. honeypots, lákadla, pomocí nichž mohou odborníci sledovat činnost infikovaných počítačů. Jde o "simulaci" nezazáplatovaných a nechráněných systémů, které slouží k přilákání virů či malwaru a následnému zapojení do botnetu – ovšem pod kontrolou bezpečnostních specialistů.
Jak tedy takový boj vypadá? Jakmile se objeví infikovaný počítač, odborníci ho analyzují a na základě těchto informací připraví honeypot (změní IP adresu a upraví systém). Pochopitelně je také informován majitel nakaženého počítače a je mu poskytnuta odborná pomoc při odstraňování malwaru. Obvyklou taktikou je rovněž specializace na konkrétní síť botů – například německý provider a "web hoster" 1&1 se specializuje na síť botů s názvem Zeus. Pomocí "honeypotů" se získávají data nutná pro vyhledání (a likvidaci) řídicích serverů pro botnety Zeus.
Lovci ale mají ve svém arzenálu stále více zbraní. Již zmiňovaná firma 1&1 také řídí tzv. Spam-Trap systém, který sbírá nevyžádané maily z celého světa a analyzuje je. Navíc pokud počítač zákazníka rozesílá spamové e-maily ve velkém měřítku, jeho majitel obdrží informační e-mail.
Aby se analytici dozvěděli o botnetu více, interpretují také DDoS (Distributed Denial-of Service) útoky. Při tomto typu útoku všechny počítače v botnetu bombardují oběť, tzn. server, miliony nesmyslných žádostí, a to až do přetížení tohoto serveru (obvykle vedoucímu k jeho zhroucení). Na základě pozdější analýzy lze vyhodnotit, kolik počítačů je zahrnuto v botnetu a který malware byl použit pro zotročení nových počítačů. Dalším prvkem v boji proti této hrozbě jsou tzv. sinkhole servery, které dokáží komunikovat s nakaženými počítači. Na základě výstupů z těchto serverů lze určit, které počítače jsou nakaženy a které sítě botnetů jsou aktivní.

Mariposa: Zničení botnetu

Z dlouhodobého hlediska rozesílání informačních e-mailů zákazníkům nebo mazání nevyžádané pošty nepomůže. Jediným rozumným krokem je vyhledání zdroje šíření i řízení a jeho následná likvidace. Hodně dlouho například lovci botnetů z Panda Security a Defence Intelligence sledovali nebezpečnou síť botů s názvem "Mariposa", která infikovala více než 13 milionů počítačů po celém světě. Téměř milionu uživatelů ze 190 zemí ukradla soukromé i firemní informace a pomocí DDoS útoků paralyzovala státní organizace, univerzity, školy a firmy. Zajímavé je, že v médiích běžný obrázek "útok zlých hackerů z Východu na uživatele ze Západu" byl zde poněkud naopak. Mozek operace se tentokrát prokazatelně skrýval na "Západě", zatímco většina obětí pocházela z rozvojového Východu (především Indie a Koreje). Z provozování sítě "Mariposa" byli podezřelí tři Španělé, ovšem z právního hlediska mohl být botnet zničen pouze pomocí legálního postupu. Proto se lovci botnetů obrátili na španělskou policii. Ta následně prohledala domy ve španělských městech Balmaseda, Santiago de Compostela a Molina de Segura. Při prohlídkách policie zadržela usvědčující důkazy, které pomohly zajistit tyto tři "operátory sítě Mariposa". Počítače byly zabaveny a odpojeny ze sítě. Při následné analýze byly zjištěny neuvěřitelné informace – Mariposa nejen infikovala miliony počítačů, ale mezi jejími oběťmi byla i polovina firem ze známého žebříčku "1 000 největších firem" časopisu Fortune. Botnet se dokonce dostal až na zařízení HTC Magic, prodávané firmou Vodafone ve Španělsku! (http://research.pandasecurity.com/vodafone-distributesmariposa/)
Všechny důležité informace získané při zkoumání tohoto botnetu byly využity k vytvoření dokumentu, který může pomoci při detekci dalších botnetů a obraně proti nim. Dokument můžete najít (ve formátu PDF) na stránkách organizace Defence Intelligence (www.defintel.com).

Cash flow: Botnetová ekonomika

U každého zločinu je jednou z prvních otázek motiv pachatele. Proč chce někdo ovládat cizí počítače? Proč by někdo vytvářel botnety? Analytik z firmy Kaspersky odpověděl v tomto případě dvěma slovy: "Zisk a nenasytnost." Pouze pomocí nevyžádané pošty vydělali spammeři v loňském roce téměř 780 milionů dolarů. Pomocí profesionálně provedených DDoS útoků získali zločinci přibližně 20 milionů dolarů. Brazilský hacker dokázal pomocí ukradených bankovních údajů vydělat 4,74 milionu dolarů. Výnosné je také využívání systémů Payper Click (jako například Google AdSense). Odborníci odhadují, že v loňském roce "vládci" botnetů získali jen z automatizovaných kliknutí na reklamní odkazy přibližně 33 milionů dolarů.
Další výdělky plynou do kapes operátorů botnetů za pronájem své sítě zločineckým organizacím. Není tedy příliš překvapivé, že i v případě botnetu Mariposa byl hlavní motivací zisk. Nezdaněné miliony získané "bez práce" byly a budou pro některé hackery příliš velkým lákadlem.

Vyhlídky do budoucna: Botnet nové generace

Zbývá už tedy jen jedna otázka: Jak si provozovatelé botnetů budou vydělávat na živobytí v budoucnu? Lovci botnetů už ale znají odpověď: Ve vyspělých státech sice rychle roste počet pravidelně aktualizovaných a kvalitně zabezpečených počítačů, mnohem větším tempem ale přibývají počítače v rozvojových zemích. Výkonné počítače jen se základním softwarovým vybavením (které je navíc často kradené), bez aktualizací a kvalitních bezpečnostních programů budou během několika let hlavním cílem útoků hackerů. V blízké budoucnosti lze tedy očekávat ještě rozsáhlejší botnety a s nimi i více spamu a krutých DDoS útoků.
U druhé hrozby se však motivy začínají pomalu měnit. Ve svých počátcích byly DDoS útoky používány především jako nástroje pro vydírání (například on-line kasin a sázkových firem), případně k likvidaci konkurence. V současnosti se těžiště útoků přesouvá do oblasti politiky a státních zájmů. Prvním náznakem byly útoky v roce 2007, kdy byly ochromeny téměř všechny důležité servery v Estonsku (vládní organizace, banky, noviny). Potvrzením předpokladu o změně motivů DDoS útoků byl i incident z počátku roku 2009, kdy byly napadeny vládní servery Jižní Koreje a Spojených států amerických. Z organizace těchto útoků byla podezřívána Severní Korea, oficiálně však tento předpoklad nebyl nikdy potvrzen.
A jakým způsobem budou do svých sítí hackeři lapat cizí počítače? Očekávají se silné útoky a nové infekce určené pro sociální sítě typu Facebook. Webové služby, jako je Google Wave nebo Twitter, jsou již cílem kyberzločinců delší dobu. Zajímavou oblastí pro hackery se stávají i stále "chytřejší" mobilní zařízení. Mimořádně vhodnými aspiranty na nový zdroj nákazy již začínají být například pomocí jailbreaku hacknuté iPhony a mobilní telefony s operačním systémem Android. Laboratoře firmy Kaspersky Lab registrovaly první úsilí v tomto směru již v roce 2009.
                                                                                      "Botnety mohou být ohroženy civilní i vojenské systémy"
                                                                                                                                  Thorsten Kraft, bezpečnostní specialista
Znepokojivá (z IT hlediska však i zajímavá) je také rychlost, jakou se botnety (respektive jejich tvůrci) přizpůsobují prostředí a vytvářejí nové obranné mechanismy. Ještě před několika lety stačilo najít jeden či několik centrálních počítačů, které botnet řídily, a hrozba byla zažehnána. Práci odborníkům však ztěžují zákeřné obranné mechanismy: například botnet jménem Srizbi měl u svých "zombie počítačů" v malwaru zakódováno téměř 200 řídicích domén (typu auaopagr.com, ddaqrtru.com…), přičemž pro komunikaci byly používány vždy pouze čtyři, které se každé tři dny měnily – více informací najdete na http://blog.fireeye.com/.
Moderní botnet malware už má obvykle i další výkonný "nouzový mechanismus": selže-li komunikace mezi zotročeným počítačem a řídicím serverem, malware automaticky hledá podle určitého algoritmu nový řídicí server. Vlastník botnetu tak může během několika sekund vytvořit nový server a upravit infikovanou síť.
Tato technika byla u některých nových botnetů ještě vylepšena. Zatímco IT průmysl ještě v oblasti "cloud computingu" poněkud tápe, bot masteři tuto technologii už více než rok výnosně využívají. Pro řízení svých sítí totiž vytvářejí virtuální "cloud servery" v místech korektních serverů, které nemohou být snadno vypnuty a zabaveny. Díky využití cloud computingu se dokázal "zachránit" například botnet Mega-D (známý také pod jménem Ozdok), paralyzovaný v roce 2009. Celá akce proběhla takto: 3. listopadu 2009, po vypnutí botnetu Mega-D, zaznamenali bezpečnostní experti firmy M86 Security Labs značný pokles zaslaných spamových mailů a zdálo se, že je vyhráno. Brzy poté ale převzal vedení zotročených počítačů jiný (virtuální) řídicí server a rozesílání spamu naopak ještě zvýšil. Dalo by se tedy říci, že hrozbu ze strany botnetů lze odstranit pouze rozsáhlou spoluprací mezi poskytovateli, specialisty na antiviry a orgány činnými v trestním právu.
Po uzávěrce: Zdá se, že naše informace o likvidaci botnetu Mariposa nebyly zcela přesné. Několik měsíců po akci španělské policie a zatčení hackerů ovládajících botnet to vypadá, že botnet zcela ochromen není (http://blog.fireeye.com/research/2010/06/mariposa-still-alive.html).
AUTOR@CHIP.CZ


JAK SE POČÍTAČ STANE SOUČÁSTÍ BOTNETU?
Zneužití počítače za 20 sekund: Tak rychle se váš počítač změní ve zdroj spamu a nástroj pro hackery.
0 sekund
Infekce: Uživatel navštíví infikovanou WWW stránku nebo otevře přílohu e-mailu obsahující "botnet malware".
1 sekunda
Transformace: Infikovaný počítač se nenápadně připojí k IRC serveru a stane se součástí botnetu.
10 sekund
Nákupy: Zločinci koupí přihlašovací údaje nutné pro ovládání botnetu ve specializovaném internetovém fóru.
18 sekund
Přestupek Zločinci se k botnetu přihlásí a dají příkaz k masovému rozesílání spamu.
20 sekund
Provedení Infikovaný počítač začíná spolu s dalšími boty rozesílat nevyžádanou poštu.


Návod: Čistý počítač ve třech krocích
Jako běžný uživatel botnety lovit nemůžete. Můžete však alespoň svému počítači zabránit, aby se stal jejich součástí. Nástroje, které vám nabízíme na DVD, vám s tím pomohou.
1. DEMONTÁŽ MALWARU BOTNETU
Mariposa, Zeus a spol. instalují na váš počítač dálkově řízený software, který funguje podobně jako trojský kůň. Nainstalujte Dr. Web CureIT a Radix antirootkit z našeho DVD a nebezpečný malware ze systému odstraňte.
2. ZABLOKUJTE BEZPEČNOSTNÍ MEZERY
Aktivujte automatické aktualizace Windows. Dalším krokem by měla být instalace nástroje Secunia Personal Software Inspector, který navíc blokuje dostupné používané mezery. Pro základní ochranu počítače před útoky na webu stačí i Windows Firewall, pouze ale u OS Windows Vista a novějších. Uživatelé Windows XP by měli použít jeden ze tří firewallů z našeho DVD.
Upozornění: Doporučujeme také zakázat všechny síťové služby, které nepotřebujete. Tyto služby totiž hackerovi poskytují užitečné informace pro útok na váš počítač.
3. ZKONTROLUJTE ZABEZPEČENÍ PC
Spusťte Správce úloh systému Windows a přejděte na záložku "Sítě", abyste ověřili, zda je vaše ochrana před botnetem aktivní. Zavřete všechny programy, které obvykle odesílají data na internet (prohlížeč, poštovní program atd.). Správce úloh by měl nyní v ideálním případě zobrazit nulovou aktivitu síťového provozu a pouze nepatrnou zátěž procesoru. Pokud tomu tak není, může to znamenat, že je na počítači aktivní malware. Pak byste tedy měli ještě jednou zkontrolovat počítač pomocí různých virových skenerů a znovu provést bezpečnostní kontrolu.


Máte svůj počítač opravdu pod kontrolou?
V době kvalitních rootkitů a aplikací plných děr a zranitelností může být detekce botnetu poněkud problematickou záležitostí. Stále kvalitnější malware dokáže bez problémů zmást jak palubní nástroje Windows, tak běžné síťové programy. Pokud chcete mít jistotu, že váš počítač není zdrojem podezřelého síťového provozu, musíte svou pozornost zaměřit na jiná místa.
Nejprve vypněte všechny programy komunikující (i legálně) přes internet – od instant messengerů přes aktualizační software až po klienty P2P sítí. Poté nechte počítač určitou dobu připojen k síti bez jakýchkoliv aktivit. Nakonec na důvěryhodných místech zkontrolujte, zda byl váš síťový provoz skutečně nulový – například na základě záznamů v routeru, případně v logu vašeho poskytovatele připojení.


Foto: Jako na dlani: Švýcarská služba abuse.ch ukazuje na Google Maps polohu všech řídicích serverů pro botnet Zeus, včetně názvů hostitelů a jejich IP adres.