Botnet (naziv nastao
kombinovanjem riječi roBOT i NETwork),
predstavlja mrežu zaraženih računara kontrolisanu sa jednog mjesta ( bot
master). Vlasnici računara u botnet
mreži najčešće nisu ni svjesni svoje “uloge”. Tu su se našli zbog slabe
antivirus i firewall zaštite. Ovakve zlonamjerne konstrukcije najčešće se
koriste za DoS napade, različite vrste spamovanja, “ click-fraud” , ali isto
tako, prelaskom namjene malicioznog softvera iz sfere zabave u sferu zarade,
botnet mreže su sve više instrument za krađu velikog broja finansijskih i
ličnih informacija koje imaju vrijednost na tržištu.
Kao i mnoge stvari u nauci i tehnologiji koje su se vremenom
“otele kontroli” i botnet mreže su počele kao potpuno benigna stvar. Ako definišemo
da je Bot programčić koji je autonoman na nekoj mašini i izvršava zadatak u okviru
mreže - prve botnet mreže bile su
zapravo IRC ( Internet Relay Chat). I
danas postoje servisi za “ćaskanje” koji su zapravo legalni botneti, NickServ –
servis koji omogućuje sagovornike kao čvorove u komunikaciji i kanal između
njih.
Problem nastaje sa početkom zloupotrebe IRC komunikacije,
prvo kao mali IRC “ratovi”, a zatim i “preuzimanja” komunikacionih kanala većih
razmjera, DoS napadi, i zloupotrebe IRC čvorova bez znanja njihovih vlasnika. IRC
bot može da se nađe i na Internetu http://www.eggheads.org/ , ova se stranica još uvijek održava #lol.
Kako smo došli dovde? Istorija razvoja botneta izgleda u
najkraćem otprilike ovako:
Rane ’90 – IRC
botovi i automatizovano upravljanje IRC kanalima
1999. – 2000. –
distribucija DDoS alata ( Trinoo, TFN2k, Stacheldraht)
1998. – 2000. –
Trojanci - udaljena kontrola ( BackOrifice2k, SubSeven)
2001. – danas Crvi
( Worms) – širenje ( Code Red, Blaster, Saser)
Suštinski, kao što sam rekla na početku, botnet je samo
mreža zaraženih računara, hostova, na kojima „čuče“ maliciozni programi zvani
botovi. Njima upravlja pomoću udaljene kontrole neka organizacija ili
pojedinac, sajber kriminalci. Komunikacija je dvosmjerna od mastera prema hostu
i nazad kroz komunikacioni kanal koji se zove C&C ( Control and
Communication Chanell) , i može biti izveden u različitim topologijama. Kad govorimo u brojkama, postoje podaci da je danas u botnet mreže na svijetu uključeno preko 12 miliona računara (ne računajući novi trend, mobilne mreže), a ova kriminalna infrastruktura se može "iznajmiti" za manje od sto dolara.
Ono što je
pravi problem je: kako se kreiraju i održavaju botnet mreže, zašto se kreiraju
i kako se to sve zajedno može izbjeći ili ublažiti.
Samo kreiranje
svodi se na to da se zarazi što više računara. Kako jedan host može postati
bot? Na jako puno načina: nekad su „crvi“ bili najpopularniji, jer su se brzo
širili mrežom, a danas je najčešći način zaraze „drive-by-download“ ,
Sql-injection, Cross-site-scripting , zapravo bilo koji danas poznati način
propagacije virusa. U svakom slučaju, cilj je da žrtva instalira bot-program na
svoju mašinu i „stupi u službu“ botnet
mreže.
Kontrola nad
ovim mrežama vrši se koristeći karakteristike samog C&C kanala ( Fast Flux,
domain flux, push/pull/P2P).
Razlog
kreiranja botnet mreža danas je isključivo zarada, i tu se ne treba zavaravati.
Radi se o kriminalnim radnjama.
Osim pomenutih
IRC botneta imamo i naprednije varijante HTTP botnete i P2P botnete. HTTP
botneti koriste ranjivosti DNS servera i tako „švercuju“ maliciozni kod na host
koji žele da zaraze ( npr. domain flux). P2P botneti se baziraju na prostom
pretraživanju mreže, otkrivanju ključeva za pojedine proksije i „ulazak“ u
mrežu. Dalje, kad se ima port i IP adresa, sve je na nivou pear-to-pear komunikacije.
Najpoznatija P2P botnet mreža je Storm.
Dakle, šta se
preduzima? U analizi i suzbijanju botnet mreža, najvažnija tačka je prepoznati,
a zatim i sprečiti, da dođe do „susreta“ botmastera i hosta žrtve ( AV
stručnjaci to nazvaše rendez vous, pa recite da IKT ljudi
nisu duhoviti i šarmantni) . To se radi različitim mehanizmima detekcije
napada, i zaštitama na različitim komunikacionim nivoima ( prvenstveno preko ACL's
- liste pristupa, na mrežnom nivou, HTTP i DNS)
Za detekcije
mreže koje imaju za cilj pronalaženje botneta i potencijalnih botneta (Bot Miner) danas je razvijeno nekoliko
metoda, od kojih su najpoznatije A-Plane Monitor ( ko šta radi? ) i C-Plane
Monitor ( ko razgovara sa kim? )
Predlozi za
čitanje:
Your Botnet isMy Botnet: Analysis of a Botnet Takeover, Brett Stone-Gross, Marco Cova,
Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski,Richard Kemmerer, Christopher
Kruegel, and Giovanni VignaUniversity of California, Santa Barbara
Behavioral Clustering of HTTP-Based Malware and Signature Generation Using Malicious Network Traces
Roberto Perdiscia; Wenke Leea, Nick Feamstera, College of Computing, Georgia Institute of Technology, Atlanta,
Mining the Network Behavior of Bots, Lorenzo Cavallaro,
Christopher Kruegel, and Giovanni Vigna, Department of Computer Science, University
of California, Santa Barbara, July 16, 2009
Нема коментара:
Постави коментар