Botnets #1
Botnet, hva er egentlig det? Siden dette er en av de største truslene pr dags dato på nettet tenkte jeg å skrive en liten serie om det, alt fra definisjon og historie til deteksjon og reaksjon. Dette er et emne det er lurt å kunne en del om dersom man jobber innen IT, spesielt på drifts og/eller sikkerhetssida. Denne første posten blir relativt overordnet, tenker å gå litt mer i dybden på ulike typer boter og egenskaper i kommende poster.
Hva er et botnet?
Et botnet er en samling av maskiner som kontrolleres av en 3.part, altså ikke den vanlige brukeren eller faktisk juridiske eieren. Maskinene er infisert med en Bot av et slag og i mange tilfeller også Trojanere eller lignende som ble brukt for å ta over maskina i første omgang. Flere bottyper benytter også rootkits og backdoors for å kunne gjemme seg, samt sørge for at botneteieren har en bakdør inn ved behov. I alle hovedsak kontrolleres botnets gjennom at botene kobler seg opp mot en sentral server (Command and Control, C & C) og mottar kommandoer via denne. Som regel er det en IRC server som benyttes, der alle botene joiner en eller flere kanaler. Eieren av botnet'et, kalt botherder, kan dermed gi samtlige bot'er kommandoer på en gang i IRC kanalen. Bot'ene benytter standard IRC protokoll(RFC 1459,oppdatert RFC 2810 - 2813) for å koble seg til, men portene kan selvsagt variere. Den installerte bakdøren kan f.eks benyttes dersom en botherder mister kontakt med bot'ene, dersom C & C serveren endres eller lignende.
(mer om hvordan dette funker, tekniske detaljer og avarter/trender i senere poster)
Hva brukes et botnet til?
Botnets brukes til så mangt, som regel kriminelle handlinger av ulik art. For eksempel kan botnet'et være spesialisert på å kartlegge og hente ut personalia og kredittkort opplysninger, som så eieren av botnet'et kan selge videre. Det er også veldig vanlig at botnets leies ut til en 3.part som ønsker å benytte det til sine spesielle interesser. Dette kan være spammere eller personer som ønsker å utføre DDoS angrep mot enkelte firmaer eller lignende. Et ganske nytt eksempel er flere botnets som ble benyttet til angrep på flere nettsteder basert i Estland. Flere av disse maskinene var ifølge NorCERT plassert i Norge. Telenor har også tidligere avdekket og sperret flere botnets med maskiner fra blant annet Norge. Merk at dette ikke nødvendigvis betyr at botherderne var norske, det betyr kun at norske maskiner var infisert og ble utnyttet i et botnet.
Det er også oppdaget flere botnets som i all hovedsak brukes til lagring av filer og da spesielt piratkopiert software, filmer , musikk osv. I disse tilfellene spres dataene på de ulike nodene i botnet'et.
Hva er så farlig med botnets?
Dette er vel egentlig en lang diskusjon, men jeg skal forsøke å gjøre det kort her. For det første vokser botnet'ene, både i antall nett og i antall maskiner i nettene. F.eks oppdaget det Nederlandske politiet for ikke lenge siden et botnet med 1.5 millioner bot'er/maskiner. Et botnet utleid til spamming tok også på et tidspunkt 15% av ressursene til Yahoo, da de brukte søkemotoren til å finne tilfeldige tekster å benytte i spam e-postene.
Technologywriter John Markoff : "It's as bad as you can imagine, it puts the whole internet at risk. [...] Experience
showed that about 50% of all pirated Windows programs came with Trojans pre-installed on them"
De ulike bottypene er etter hvert også blitt meget gode til å gjemme seg på maskinen de har infisert og de blir også stadig vekk vanskeligere å bli kvitt. En avart av "Storm Worm" ( W32/Small.DAM eller Trojan.Peacomm) har for ikke lenge siden vist seg å forsvare seg aktivt dersom den detektere forsøk på scanning etter sårbarheter over nettet (mer om denne i poster her etter hvert). Dette har i enkelte tilfeller utløst et DDos angrep mot host'en som kjører scannen. Flere kjente bottyper vil også begå selvmord dersom de de blir oppdaget eller dersom de merker de kjører i et virtuelt miljø. Dette og lignende funksjoner har gjort det noe vanskeligere for AV leverandørene å utføre de undersøkelsene de trenger for å lage et mottrekk.
De fleste bottypene kan også instrueres til å laste ned oppdateringer av seg selv, etter ytterligere ny funksjonalitet, noe som gjør det vanskeligere å komme opp med passende mottrekk. (Ofte infiseres maskinen først av en Downloader av en type, som deretter laster ned Bot og programvare for å gjemme denne)
Klare trusler fra botnets:
- Identitetstyveri er blitt et økende problem og enkelte bottyper er spesialiserte på nettopp å hente inn denne typen informasjon. For videresalg på nettet.
- Svindling av nettbanker har blitt et økende problem. Enkelte bottyper er spesialiserte på denne typen angrep.
- Utpressing gjennom trussel om DDoS angrep har blitt mer vanlig. Dette gjøres ved at firmaer tvinges til å betale en løsesum for å unngå at et DDoS angrep skal ta ned serverne deres. Det er botnets som benyttes til disse angrepene.
- Spamming er også et voksende problem og botnets benyttes ofte til å spre denne. Botnet'ene "leies" da ut til spammere .
- En av de største trusslene er kanskje at det er et marked for den typen "tjenester" en botherder kan tilby og for den informasjonen han kan samle inn. Dette gjør at botnets ikke vil forsvinne, men snarere fortsette å utvikle seg, i takt med de mottrekk som gjøres av "the good guys".
Flere av botene har også meget effektive og sammensatte måter å spre seg videre på og nettene kan derfor bli relativt store. Mer om dette i senere poster.
Kort historisk
De første bot'ene oppstod i forbindelse med IRC og ble da utviklet som klienter som alltid kunne være på de kanalene eierne ville ha dem og utføre de oppgavene de ble bedt om der. Den antatte første boten het GM og spillte et spill kalt "Hunt of the Wumpus" med med brukerne i kanalen. Videre ble botene utviklet til å holde kanaler oppe, sørge for at kanalen ikke ble tatt over av andre, gi riktige brukere ekstra rettigheter i kanalen, hjelpe brukere, kaste ut brukere basert på regler om f.eks flooding o.l. Etterhvert ble disse botene utviklet til å kunne delta i DoS angrep i konflikter relatert til IRC og siden ble de videreutviklet til det vi idag ser som noder i et "ondsinnet" botnet. Flere av de første botene benyttet også hull i IRC klienter, som mIRC, til å spre seg.
Begreper
| Botnet | En samling av separate/distribuerte software roboter som kjører på maskiner som er "owned". Dvs at de i bunn og grunn kontrolleres av en annen person(er) enn den faktiske brukeren |
| Bot | Software av ulik art som benyttes til å kontrollere maskinene som deltar i et botnet. |
| Botherder | Personen som er opphavsmannen til botnet'et, som kontrollerer det og benytter seg av det til ulike formål |
| C & C | Command & Control server. De fleste botnets kobler seg til en felles server for å motta kommandoer og oppdateringer. Som regel en IRC server, selvom enkelte nyere avarter av gamle bot'er benytter P2P |
| DDoS (Attack) | Distributed Denial of Service (Attack) |
Linker
- https://www.irchelp.org/irchelp/rfc - Om RFC'ene for IRC
- https://en.wikipedia.org/wiki/Internet_Relay_Chat - Om IRC generelt
- https://en.wikipedia.org/wiki/Ddos#Distributed_attack - DDoS & DoS forklart
- https://lists.sans.org/pipermail/unisog/2007-August/027405.html - SANS anbefalning om scanning etter Storm pga DDoS hevn