Hlavní navigace

Botnet: armáda phishingových otroků

21. 3. 2008
Doba čtení: 7 minut

Sdílet

 Autor: 29
Většinu phishingových útoků, jakým nyní čelí třeba Česká spořitelna, provádí velké množství počítačů domácích uživatelů, zapojených do nelegálních aktivit. Jejich majitelé přitom obvykle nic netuší. Botnetová síť je ovládána na dálku a využívá mnoha dostupných technik k nalézání nových bezpečnostních děr. Jak přesně botnet pracuje a k čemu všemu je zneužíván?

Poznámka: článek navazuje na včerejší text Jak se dělá phishing, který popisuje základní principy phishingu.

Zákazník banky je BFU

Je potřeba si uvědomit, že zákazníkem bank jsou obyčejní lidé. Netuší nic o URI/URL (internetových adresách), nerozumějí tomu, jak může jejich karta či online bankovnictví být zneužito. Jakýkoliv mail, který vypadá dostatečně věrohodně, považují za něco důležitého a snaží se na něj okamžitě reagovat. V již zmíněné reportáži TV Nova se jeden takový nechal slyšet, že když už mi to přišlo po několikáté, tak jsem tam ty údaje zadal. Jakkoliv to může být výmysl tvůrců reportáže, je opravdu pravděpodobné, že jde o jeden z modelů lidského chování, který v tomto případě skutečně funguje.

Botnetové aktivity

Vraťme se zpět k trochu techničtějším a praktičtějším záležitostem. Termín botnet je spojením slova „bot“ a „net“ – jde tedy o jakousi síť (ro)botů, které je možné ovládat. Botnet je síť počítačů (desítky až tisíce i desetitisíce), na které byl nainstalován software, který je umožňuje na dálku ovládat (označený jako spambot). Je důležité si vždy uvědomit, že majitelé těchto počítačů nemají o něčem takovém ani nejmenší ponětí.

Nejčastěji používané spamboty
spambot jak je používán
SRIZBI 43,7 %
Rustock 17,5 %
Mega-D (Ozdok) 16.5 %
Hacktool (Spam-Mailer) 6,8 %
Pushdo (Pandex,Cutwa­il) 5,1 %
Storm (Nuwar, Zhelatin) 1,4 %
Ostatní 9,0 %

Zdroj: Marshal.com

Do počítače se tento software dostává řadou způsobů. Může se tam objevit prostřednictvím bezpečnostní díry v prohlížeči, stejně tak jako s nějakým dalším softwarem (trojský kůň je „přibalen“ k nějakému důvěryhodnému software). Uživatel ho tam nevědomky může vpustit i sám prostřednictvím (opět) podvodných stránek, které ho například vyzvou k instalaci kodeku pro přehrávání videa (a chtěné video Michaela Jacksona, Heather Millls či jiné hvědy mu opravdu přehrají).

Útočníci šíří podobný software i jako bezpečnostní programy, které mají odstraňovat právě takovéto škodlivé aplikace. Jedna z hlavních metod získávání nových počítačů do botnetu je opět spam – právě spamem je uživatel lákán na podvodné stránky, případně je přímo ve spamu zkoušena některá z bezpečnostních chyb.

Je samozřejmě jasné, že ve většině případů se tento software do počítače dostal hlavně proto, že uživatel nepoužívá prakticky žádná bezpečnostní opatření, ani se bezpečně nechová. Antivirové a antispyware programy mohou v řadě případů pomoci, důležité jsou bezpečnostní opravy a uživatel nepohybující se po Internetu coby administrátor systému. Jakkoliv to jsou nepočítaně opakované věci, stále existují (a budou existovat) miliony uživatelů, kteří přesně tyto věci nedodržují.

Díl zodpovědnosti na záplavě botnetů a jimi realizovaných aktivit poměrně jasně padá na hlavu Microsoftu. Jsou to totiž výhradně Microsoft Windows, která botnety tvoří. A možné je to hlavně pomocí bezpočtu bezpečnostních chyb a dalších vlastností (nejrozšířenějšího) operačního systému.

Pokud byste chtěli v praxi vyzkoušet, jak botnet funguje, můžete sáhnout po viru Storm. Ten byl až donedávna zodpovědný za enormní množství napadaných počítačů a dodnes koluje v nových a nových variantách. V době své slávy měl „pod palcem“ až 1,7 milionu počítačů (Zdroj: Symantec, červenec 2007).

botnet schéma

Zjednodušené schéma

Je nutné si uvědomit, že software  vyskytující se na napadených počítačích je skutečně kvalitně napsaný tak, aby nebyl objeven. Disponuje i obrannými mechanismy, respektive celá síť je například schopna reagovat na zkoumání zvnějšku – ať už přeskupením aktivit, nebo použitím části sítě k aktivnímu útoku na internetový stroj, který se síť pokouší zkoumat. Samozřejmostí je i možnost automatického update použitého software. Antivirům je v detekci bráněno absencí jakýkoliv klasických struktur, které by mohly detekovat pomoci běžné „signaturové“ kontroly. Pomohla by heuristická analýza, ale není výjimkou, že tento software je instalován jako součást boot sektoru a je aktivní ještě dávno předtím, než vůbec nějaký antivirus dokáže začít něco dělat. A pokud žijete v představě virů o velikosti pár (desítek) kilobajtů, zde se pohybujeme ve stovkách kilobajtů.

Síť takto hacknutých počítačů nemá žádné centrální řízení. Je možné, aby se kterékoliv z počítačů staly počítače řídící, takže je možné jednou získanou síť neustále měnit. Síť samotná zpravidla přebírá základní příkazy z IRC, kde na nějakém vybraném kanále dochází k výměně povelů i dalších informací. Využívány jsou i principy P2P sítí, takže řídících počítačů je zpravidla víc a neustále se mění. A veškerá komunikace je pochopitelně kódovaná. 

K čemu všemu slouží botnety?

Nejčastější použití je pro spam. Už dávno minula doba spamových králů, kteří prováděli své spamovací aktivity z nějakého pevného místa, platili počítače, hosting a konektivitu. Dnes postačí mít síť pár desítek až stovek počítačů a nechat pracovat je – pochopitelně na úkor konektivity i výkonu nic netušících majitelů.

Podle některých analýz je na celosvětovém Internetu až 40 % počítačů ve skutečnosti součástí podobných sítí. Při odhadu 800 milionů počítačů by to představovalo až 320 milionů hacknutých počítačů. Damballa uvádí, že v jednom určitém dni je aktivováno více než 7,3 milionu počítačů pro podobné aktivity. A uvádí také, že před dvěma lety, v roce 2006, jich bylo něco přes 300 tisíc.

Je nakonec nepodstatné, jestli jde o 7 milionů aktivních denně nebo 320 milionů napadených celkem. Kterékoliv z těchto čísel poměrně jasně vysvětluje, proč se topíme ve spamu. Spam dnes tvoří až 91 % e-mailového provozu na Internetu.

Již zmíněná společnost Marshal v polovině února upozornila, že Storm již není takovou hrozbou a že mezi botnety se objevila nová síť, označená jako „Mega-D“, která je zodpovědná za 32 % veškerého spamu poslaného v listopadu a prosinci 2007. Phishing tvořil z objemu spamu pouze 0,5 %. O pár týdnů později už „Mega-D“ nahradil Srizbi – velmi pokročilý software fungující v kernelovém režimu.

Další typické použití jsou DoS (Denial of Service) útoky. Část sítě se zaměří na určitý web a zahlcuje ho požadavky. Nedělá to samozřejmě jen tak, součástí je zpravidla požadavek na „výkupné“. Prostě pokud napadení zaplatí, útok přestane. Množství útočících počítačů je samo o sobě problematické. A pokud si uvědomíte, nakolik budou roztroušeny po celém světě, je asi jasné, jak složitá bude obrana proti podobným útokům.

Botnety vyhledávají i další počítače, které by bylo možné napadnout. Zkoušejí bezpečnostní díry umožňující proniknout do webových hostingů tak, aby bylo možné získat prostor pro umístění stránek – phishingových i těch, které napadají počítače návštěvníků. Využívají chyby v diskusních fórech a dalším softwaru k vkládání kódu do stránek, ve kterých by nikdo útok  neočekával.

Bezpečnostní chyby v phpBB tak běžně slouží k umístění desítek až stovek tisíc IFRAME či JavaScript kódů – vlastní kód napadající počítače je pak stahován z již dříve hacknutých webů. Podle čerstvé zprávy McAfee se v rámci aktuálních aktivit podařilo podobným způsobem změnit na 200 000 webových stránek. 

Útočníci zkoumají i bezpečnostní chyby v operačním systému, které umožní získat přístup do počítače, aniž by bylo nutné jej napadnout přes webovou stránku. Pokročilejší software se snaží proniknout do firemních sítí a najít cestu, jak komunikovat skrz (zpravidla) složitější bezpečnostní prvky. Firemní počítače v botnetu zpravidla znamenají kvalitnější konektivitu i výkon.

A v rámci phishingu slouží i k hostování falešných webových stránek, soustřeďování a odesílání získaných dat.

Role hacknutých webů

V phishingových aktivitách hrají velkou roli hacknuté weby. V rámci ČS phishingu se objevily desítky různých webových adres, mezi kterými byly i české weby a ke změnám docházelo v řádů dnů. Jde o jeden z průvodních jevů, hacknutý web může být kdykoliv objeven a odstaven, proto je nutné neustále mít v zásobě nové weby.

  • Botnet je použit k nalezení napadnutelného webu. Dochází k hledání stovek známých bezpečnostních chyb, přičemž tyto aktivity probíhají neustále.
  • Server je napaden a je nainstalován rootkit nebo backdoor.
  • Útočníci získají přístup k serveru.
  • Pokud server slouží jako webový server, je nainstalován některý z toolkitů.
  • Adresy jsou použity v spamu posílaném z botnetu.
  • Internetoví uživatelé začnou používat falešné stránky.
  • Server může být použit pro další hledání napadnutelných počítačů.
  • Server může být použit i pro vlastní odesílání spamů.

Hacknuté weby jsou jak linuxové, tak Microsoft Windows. Opět je k dispozici dostatek již hotových pomůcek, které celou činnost automatizují. Využity jsou bezpečnostní chyby jak v operačním systému, tak v některých dodatečných komponentech.

Není výjimkou situace, kdy jsou hacknuté weby použity pro několikanásobné přesměrování. Několik prvních slouží pouze k přesměrování na skutečný web sloužící k phishingu. V rámci ČS phishingu bylo využito i www.tinyurl.com pro zkracování adresy v e-mailu.

BRAND24

 

Poznámka: v dalším volném pokračování se dozvíte více o tom, jak se phishingu bránit.

Myslíte sim že by i váš počítač mohl být zapojen do sítě botnetů?

Byl pro vás článek přínosný?

Autor článku

Konzultant a publicista, provozuje www.pooh.cz. Podle některých si myslí, že rozumí všemu, sám je však přesvědčen o pravém opaku a ani v 30+ letech nedokázal přijít na to, jak mít peníze a nepracovat.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).