Armáda temnot aneb jak funguje botnet

zombieBotnety, armády zombií počítačů rozmístěných prakticky po celém světě jsou stále častěji zneužívány k nejrůznějším útokům.

Jak to celé funguje, je velice prosté. Každý server na internetu má přidělenou nějakou IP adresu a jméno (hostname). S jedním hostname je obvykle svázána jedna IP adresa, ale může jich být i víc.

Např. pokud je potřeba vyrovnávat zátěž (load balancing) mezi servery nebo existuje požadavek na vybudování odolného (resilient) řešení pro případ zemětřesení a jiné pohromy, nebo je prostě nutné provést odpojení serveru od sítě z důvodu upgradu, nebo přepnutí na sekundární server v reakci na DDoS apod.

Všechny IP adresy, které společnost plánuje pro dané hostname používat, však nemusí být předem zadány v DNS. DNS záznam se může aktualizovat až v okamžiku potřeby. Této vlastnosti však využívají organizované skupiny operující po celém světě k tomu, aby mohly svoji nelegální aktivitu snadno přesunout do jiné země a na jiný server, který zde je již mají připraven pro případ, že by byl primární server odstaven. Na těchto případech je mimochodem vidět, jak kvalitní má podsvětí BCP (Busines Continuity Plan česky zajištění kontinuity podnikání) a DRP (Disaster Recovery Plan, česky plán obnovy po havárii). Manažeři mnohých firem by se od nich mohli v tomto směru učit.

V okamžiku, kdy je primární server odstaven, může být prakticky ihned aktivován na druhé straně zeměkoule záložní server, který má sice jinou IP adresu, ale stejné hostname (rozuměj, pořád má stejné URL). Data jsou běžně replikována do geograficky vzdálené lokality, takže s jejich dostupností také není problém.

Samozřejmostí je šifrovaná komunikace, takže odposlech není možný. V úložišti jsou data též šifrována např. za použití freewarového nástroje TrueCrypt symetrickou šifrou AES, takže v případě, že se povede disk zabavit, nedá se zjistit, co je na něm uloženo.

V případě vniknutí policie do fyzických prostor zločinecké organizace jsou obvykle veškerá data uložená na lokálních discích zničena tzv. degausserem – zařízením, které je umístěno uvnitř serveru resp. poblíž disku. Toto zařízení může být aktivováno i na dálku a silný elektromagnetický puls spolehlivě zničí veškerá data a tedy i důkazní materiál. Digitální stopy tak mnohdy nemohou být zajištěny a nelegální business může vesele pokračovat v jiné destinaci. Rychlost za jak dlouho je možné služeb záložního serveru využít, je dána čistě jen tím, jak rychle lze provést změnu příslušného DNS záznamu.

Komunikace mezi jednotlivými členy organizované skupiny, kteří se nikdy osobně nesetkali a neznají ani svojí skutečnou identitu, probíhá za použití symetrické a asymetrické kryptografie. Šifrovány jsou nejen e-maily, ale i komunikace přes instant messaging. Dost často se používá protokol OTR (Off-The-Record, česky mimo záznam), protože tak není možné prokázat, co kdo doopravdy napsal.

Pro registraci DNS se používá zcizená identita, a pokud je potřeba uvést fyzickou lokalitu, je vybíráno obvykle místo, které je delší dobu opuštěné a je tak možné snadno vybrat ze schránky doručenou poštu a na tu reagovat. Fyzické převzetí zboží, zásilek a peněz probíhá přes bíle koně. Vše je placeno zcizenými kartami nebo z ovládnutých účtů elektronického bankovnictví. Komunikuje se přes ověřené proxy servery (rozuměj přes servery, které jsou pod kontrolou zločineckých organizací, a které nelogují komunikaci).

Přístup k informacím je řízen na principu „need to know“, takže každý člen organizované skupiny se dostane jen k informacím, které potřebuje znát a vykonává jen určitou činnost. Vidíme, že se jedná o běžné rozdělení rolí nebo chcete-li „segregation of duty“. Pokud jde o posouzení toho, jak efektivně tyto zločinecké organizace fungují, tak vězte, že z pohledu CMM jsou mnohé procesy zavedeny na úrovni 5, tedy jsou plně automatizovány a optimalizovány. Tedy opět něco, o čem si mohou mnozí CIO nechat jen zdát.

Jeden jim všem vládne

Vzhledem k tomu, že možnost provádět změny na DNS má pouze prověřená entita, musí zůstat utajena. Celý systém tak funguje jen díky tomu, že provider nechce spolupracovat a také nespolupracuje s orgány činnými v trestním řízení a neposkytuje ani žádné informace. Zákazník si u něj doménu zaregistroval a zaplatil. Útočník může navíc ovládat i DNS server, takže častá změna záznamů probíhá v jeho režii. Do DNS záznamu se vloží IP adresa náhodně vybraného zombie z botnetu nebo je použita metoda Round Robin. Výběr IP adresy provádí centrální server, někdy označovaný jako mother ship, který má k dispozici seznam momentálně dostupných zombies a který je oprávněn měnit záznamy v DNS pro svou doménu. Oběť tak je po zadání URL přesměrována na zombie stroj, neboť do DNS je zapsána právě IP adresa zombie. Tento stroj buď přímo obsahuje škodlivý kód, nebo funguje jako reverzní proxy server a přesměrovává uživatele na cílový systém. Obvykle se jedná o falešný web.

Těžko je zabít

Na zombie počítači může být proveden hardening, nainstalován rootkit a implementovány taková opatření, aby jeho správu mohl vzdáleně provádět jen Command & Control Server (C&C server). Komunikace mezi zombie počítačem a cílovým serverem může být šifrována a navazuje se až v okamžiku, kdy dorazí požadavek. Bohužel na jakých serverech oběť surfovala, se obvykle zjistí až forenzní analýzou a to už je dost pozdě. I kdyby se vám krásně podařilo zjistit IP adresu zombie, tak nemáte vyhráno, protože jediná možnost jak odhalit cílový server, by bylo zjistit, s jakým serverem navazuje zombie komunikaci a to byste ho buď museli hacknout nebo získat pro spolupráci všechny ISP na světě.

Země živých mrtvých

C&C serverem může být prakticky cokoliv. Může být využit jakýkoliv web 2.0, kam lze vložit obsah, který bude zakódovaný nebo ještě lépe zašifrovaný a jen zombie ho bude schopná dešifrovat, protože bude znát klíč. Zombie může C&C server vyhledávat třeba přes Google, neboť z předchozího sezení ví, jaké má vyhledat klíčová slova. Příkazy mohou být velice dobře ukryty i v naprosto nevinném textu, např. v diskusním fóru na renomovaném serveru, u kterého je zajištěna vysoká dostupnost a jen zombie bude vědět, že převedením určitých slov v příspěvcích na čísla získá IP adresu, ze které si stáhne další instrukce nebo aktuální verzi.

Impérium vrací úder

Řešení by bylo poměrně jednoduché a to donutit domain registratory a ISP ke spolupráci a tvrdě zakračovat v případě porušení stanovených pravidel. Je otázka, proč tady již dávno nějaká takováhle pravidla nejsou.

Poskytovatelé připojení

ISP by např. mohli nakažené počítače odpojovat od sítě nebo je umísťovat do karantény a v okamžiku, kdy by daný počítač byl zdravý, tak by se zase normálně připojil do sítě. A tohle si nemyslím jen já, stejnou myšlenku propagoval svého času i Scott Charney (viceprezident Microsoftu). Mně přijde naprosto logické, že když někdo ohrožuje ostatní a je jedno, zda tak činí úmyslně, z nedbalosti nebo z nevědomosti, musí být podniknuto rázné opatření. A v mnohých firmách to takhle praktikují už dnes. Nápad to ostatně není nový, protože když se nad tím zamyslíte, tak zjistíte, že v běžném životě to tak funguje už spoustu let a kupodivu se nikdo nad tím ani nepozastavuje. Naopak, většina rozumně uvažujících lidí tato opatření chápe. Když hygienik zjistí, že jsou někde nakažená zvířata, tak je nechá porazit, když je někde zamořená oblast, tak ji uzavře, nakažený člověk je umístěn do karantény nebo na infekční oddělení, auto, které neprošlo technickou kontrolou, nesmí jezdit po silnici a takhle bychom mohli pokračovat dál.

Registrátoři domén

Pokud jde o registrátory domén, tak ti by zase mohli zavést pravidlo, že majitel domény musí uvést předem seznam IP adres, které bude používat a pokud je možnost změny IP adresy využívána pro legitimní účely, tak by to pro ně neměl být příliš velký problém. Dále by se mohlo monitorovat, jak často dochází ke změně IP adresy a v jakých lokalitách se dané IP adresy nacházejí. Využít by se dala technologie GeoIP location. V okamžiku, kdy ke změně dochází každých pár minut a navíc se IP adresy nacházejí na různých místech po světě, jedná se pravděpodobně o podezřelou aktivitu a takový záznam by mohl být z DNS kompletně odstraněn nebo by mohlo být minimálně zabráněno v jeho aktualizaci. Jenže mnozí registrátoři jsou možná součástí nějaké organizované skupiny, takže nemají jediný důvod spolupracovat, protože by se tím připravili o možný zdroj příjmů. Také možnost jak snadno může zákazník získat doménové jméno a rychle zaplatit je součástí konkurenčního boje mezi registrátory. Vzhledem k tomu, že poměrně častým cílem útoků jsou webové stránky bank, tak se nabízí otázka, zda by nebylo vhodné vytvořit např. doménu bank, kterou by mohly získat pouze finanční instituce. Poprvé s touto myšlenku přišel William Leech a byla zveřejněna ve Foreign policy magazine May/June 2007. Je otázka, proč tato myšlenka nebyla doposud realizována.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Armáda temnot aneb jak funguje botnet” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: