Botnet trender
Lenge siden jeg har kikka på botnets nå, på tide igjen nå, er jo en av “favorittene” mine innen ondsinnet kode.
Tidligere poster med intro til Botnets her.
Grafen er hentet fra Shadowserver.org, en gruppe som overvåker en rekke botnets. Tallen på Y aksen er antallet aktive C&C servere, ikke antall bots.
Botnet kontroll
Botnets begynte jo med enkel kontroll via IRC, som siden ble langt mer avansert og ikke minst automatisert. Dette ble etterhvert, og er i en del tilfeller fortsatt, botnets store svakhet. Ved å overvåke trafikk og se etter uventet IRC trafikk kunne de spores og ikke minst stoppes ved å blokkere IRC serveren de koblet seg til (Command and & Control server). Botene ble videreutviklet til å ha alternative C&C servere, failback løsninger og i siste instans bakdører eieren kunne bruke til å få kontroll igjen. Det neste skrittet var å gå vekk fra IRC og over til peer-to-peer baserte systemer. Disse er som kjent langt mindre sårbare og vanskeligere å ta ut. Det gir også et behov for mer komplekse boter og vedlikehold.
Nylig ble det observert bot’er som fikk kommandoer via RSS feeds, som igjen kom fra Twitter. Den nå stengte Twitter kontoen ble brukt til å poste linker til kommandoer eller filer som skulle lastes ned og utvide/oppdatere boten.
Twitter feeden til høyre inneholder base64 kodede strenger som igjen referer til linker. Disse viser igjen videre til filer eller kommandoer.
Hos flere andre micro blogging tjenester er det funnet lignende kontoer og kommandoer/henvisninger som blir sendt ut.
Waledac botnet’et (oppdaget Dec 2008)
Dette nettverket har vært aktivt med å sende spam siden det ble oppdaget. Benyttes ofte til å utføre social engeenering i forbindelse med større hendelser i verden, som mange er klar over pga pressedekning osv. Nettet har også en avansert funksjonalitet for å oppdatere både seg selv og spam’en som sendes ut, ofte oppdateres botkoden 2 ganger om dagen, i perioder enda oftere. Mye av Viagra og lignende spam du har fått siste året har kommet fra dette nettet.
I tillegg til spam laster ofte bot’en ned falsk antivirus programvare, som er ganske plagsom og varsler brukeren enormt mye. Den etterligner også Windows Security center. Tanken bak det hele er å få brukeren til å klikke på linken for å kjøpe fullversjon av “antivirus” programmet og løse alle disse sikkerhets”problemene”. til kun $49,95.
Nettet krypterer trafikken sin og er relativt dynamisk i sin utforming og flytter for eksempel rundt på hvilke noder som skal gjøre hvilke oppgaver. En node kan for eksempel opptre som Spam utsender, mens andre kun er kommando proxier.
Som Storm benytter dette nettet P2P kommunikasjon, men over HTTP. Koding av meldinger gjøres med en kompleks variasjon av RSA, AES, Bzip2 komprimering og base64 encoding og en xml basert meldingsstruktur. Protokollen de har laget seg omtales som HTTP2P, der RSA antagelig benyttes til session keys mellom noder og servere, mens AES er bekreftet brukt til å kryptere trafikk mellom nodene. Hver node har også sitt eget hardkodede sertifikat.
Nettet benytter seg også av såkalt Fast flux, TTL på oppslag satt til 0 og DNS servere flytter ofte rundt til andre noder.
Mye av meldingstypene og kommandostrukturen har blitt gjennomskuet av ulike sikkerhetsfirmaer, men ikke alt er kartlagt ennå. Botnet’et går også ganske langt i forsøke å gjemme kommandoer som lett vil avsløre dem, f.eks oppdatering av seg selv eller installering av ny malware kode. Ved flere anledninger skjedde dette gjennom krypterte exe filer embedded i jpg filer bot’en fikk beskjed om å laste ned.
Pushdo / Cutwail (oppdaget 2007)
Et ikke like kjent nett, men det er antagelig nr to på lista over spamnet, med over 7,7 milliarder epost hver dag. Den bidrar også i stor grad til å spre annen malware. Dette gjør forsåvidt at malware alarmen ofte går på nodene, men kun den ordinære malwaren oppdages ofte, Pushdo komponentene operer nesten utelukkende i minnet, uten å skrives til disk under kjøring av OS’et (men koden må selvsagt lastes fra disk på et tidspunkt). Spam komponenten som lastes ned kalles Cutwail.
Det ser ikke ut til at nodene selv sørger for å spre seg videre, som for eksempel enkelte Storm noder hadde til oppgave. Koden derimot blir ofte endret og komponenter lagt til. Ifølge enkelte rapporter tyder ting på at Botnet eierne har avtaler med andre nett om å spre Pushdo. For eksemepl har vårt Malware Protection Center observert downloadern Win32/Bredolab brukt som spredningsmekanisme for en rekke annen malware, inkludert Cutwail/Pushdo. (Bredolab er akkurat lagt til i MS Removal Toolkit du får via Windows Update om du har valgt det)
Det virker mer som et generelt verktøy til ulik kriminell virksomhet enn et spesialisert nett. Dette underbygges også av at kontaktinfo for å benytte seg av nettets tjenester er relativt lett tilgjengelig. Forøvrig oppga de å ha tilgang på rundt 1 million norske epost adresser og spam til alle disse kostet 3000 rubler. Med dagens kurs ca 670 kr. (interessant nok er de villige til å gi en ordentlig kvittering så man kan få utgiften ført ordentlig i regnskapet. I Russland er jo ikke lovene rundt dette like strenge)
En egen downloader modul besørger nedlastning ny kode og henter info om dette fra en av en rekke servere, alle fra ulike leverandører på/med ulike ASN. Pushdo laster også ned en egen kernel driver som settes opp til å lastes tidlig, også om Safe Mode benyttes. Dette gjør den for å sikre seg mot deteksjon og at den alltid er installert og kjørende. Den vil blant annet sørge for at endring av dens egne registry settinger ikke fungerer og at den alltid har sin egen kode injected i services.exe når en instans av denne startes.
“Kampanje” modulen kan installere annen malware, for eksempel Popup reklame. Modulen kan da sørge for at dette skjer, men også at tidligere installert malware fjernes samtidig.
Kilder
https://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/
https://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/study_of_pushdo.pdf
https://www.microsoft.com/security/portal/Threat/SIR.aspx
https://www.shadowserver.org/wiki/pmwiki.php/Calendar/20081231