Εισαγωγή στις σημερινές κορυφαίες επιθέσεις Botnet

από Corey Nachreiner, CISSP, Αναλυτής ασφάλειας δικτύων, τεχνολογίες WatchGuard

[Σημείωση συντάκτη: Αυτό το άρθρο συμπληρώνει τον κατάλογο επιθέσεων που παρουσιάζονται στο μέρος 2 της τηλεοπτικής σειράς, Ανάλυση Malware: Botnets. «Ανάλυση Malware: Το Botnets, μέρος 2 ″ παρουσιάζει μικρό υποσύνολο των επιθέσεων botnet στη δράση. Αυτό το άρθρο συμπληρώνει ότι υποσύνολο με περισσότερες επιθέσεις που βρίσκονται συνήθως σε ένα οπλοστάσιο BOT herder. Οι συνδρομητές LiveSecurity μπορούν να βρούν τα βίντεο, δωρεάν, στο μας Τηλεοπτικά σεμινάρια σελίδα. –Scott]

Θα ακούσετε συχνά botnets περιγραμμένος ως ελβετικό μαχαίρι στρατού ενός «χάκερ.» Ακριβώς όπως ένα ελβετικό μαχαίρι στρατού μπορεί να έρθει με μια τρελλή ποικιλία των λεπίδων, το ψαλίδι, και τα κατσαβίδια, bots έρχονται με τους πολυάριθμους άθλους και τις εντολές που επιτρέπουν στα herders BOT για να προωθήσουν πολλούς διαφορετικούς τύπους επιθέσεων.

Δεδομένου ότι η κωδικοποίηση ένας πελάτης BOT παίρνει το χρόνο και την ικανότητα, οι περισσότεροι επιτιθέμενοι αγοράζουν τον κώδικα BOT σε απευθείας σύνδεση στον υπόγειο. Τα δημοφιλή κακόβουλα bots περιλαμβάνουν Phatbot, Agobot, και αυτό που παρουσιάζεται στο βίντεό μας, Rxbot. Αυτοί οι πελάτες BOT χρησιμοποιούν το μορφωματικό κώδικα, έτσι εάν ένα BOT herder δεν αγαπά τη σειρά εντολών οι προσφορές BOT του, προσθέτει απλά νέες. Για τα παραδείγματα, που διαβάζονται επάνω.

Ποια ζευγάρια καλύτερα από zombies και spam;

Δύναμη herders BOT συνήθως τα bots τους ως τεράστιους ηλεκτρονόμους spam. Πόσο τεράστιος; Σύμφωνα με μια πρόσφατη μελέτη από Commtouch, 87% όλου του ηλεκτρονικού ταχυδρομείου που στάλη μέσω του Διαδικτύου κατά τη διάρκεια του 2006 ήταν spam. Αυτά τα ε-παλιοπράγματα παρήγαγαν μέχρι 1700 terabyte (1.700.000.000 μεγαμπάιτ) της κυκλοφορίας Διαδικτύου καθημερινά. Το Botnets παρήγαγε 85% αυτό spam, ένα παλιρροιακό κύμα του ανεπιθύμητου ταχυδρομείου.

Ο περισσότερος κώδικας BOT έρχεται με τουλάχιστον μερικές εντολές να καταστήσει ευκολότερος. Μερικά bots βελτιστοποιούνται ακόμη και συγκεκριμένα για. Ένα BOT herder που χρησιμοποιεί Phatbot μπορεί να εκδώσει την εντολή harvest.emails για να συλλέξει κάθε διεύθυνση ηλεκτρονικού ταχυδρομείου στον υπολογιστή ενός θύματος. Εάν ένα Phatbot herder botnet αποτελείται από χιλιάδες μηχανές θυμάτων, θα μπορούσε γρήγορα και εύκολα να δημιουργήσει τους ΓΠ-normous καταλόγους ηλεκτρονικού ταχυδρομείου στο πιό πρόσφατο spam.

Το Agobot προσαρμόζεται για. Περιλαμβάνει ακόμη και τη μηχανή SMTP του έτσι ώστε μπορεί spam άμεσα. Οι spamming εντολές ηλεκτρονικού ταχυδρομείου της επιτρέπουν σε ένα Agobot herder για να πουν κάθε ένας από τους υπολογιστές του θύματός του:

• Μεταφορτώστε έναν κατάλογο διευθύνσεων ηλεκτρονικού ταχυδρομείου στο spam
• Μεταφορτώστε ένα μήνυμα ηλεκτρονικού ταχυδρομείου προτύπων που στέλνει
• Έναρξη που στέλνει τα μηνύματα που χρησιμοποιούν πολλά διαφορετικά νήματα ηλεκτρονικού ταχυδρομείου ταυτόχρονα
• Η έναρξη και σταματά όταν καθοδηγείται.

Το BOT στο βίντεό μας, Rxbot, δεν εξετάζεται ένα spamming BOT. Εντούτοις, ακόμη και περιέχει μια στοιχειώδη εντολή που επιτρέπει σε ένα BOT herder για να στείλει ένα ηλεκτρονικό ταχυδρομείο από όλα τα θύματα zombie του.

I’m hiding behind my SOCKS

Many bots include a SOCKS server. SOCKS (an abbreviation for sockets) is a networking protocol designed to pass TCP traffic through a proxy server. In other words, if a client wanted to visit www.google.com using SOCKS, the client would send its request to a SOCKS server instead of to Google directly. The SOCKS server forwards that request to Google and returns the response to the client. However, to Google it looks as though the request came from the SOCKS server, not the actual client.

Bot herders love to use the SOCKS proxy to spam. A bot master simply enables the SOCKS proxy on one of his bots, then redirects his SOCKS-compatible, mass emailing program to the IP address of that bot. This causes the email program to send email using that bot as a relay. If an anti-spam program blacklists the bot’s IP address, the herder activates the SOCKS proxy on another bot, and his spam seems to originate from a new, clean IP address.

Furthermore, the bot herder can use a SOCKS proxy to anonymize just about any network traffic. And in Rxbot, for instance, activating the SOCKS proxy is simple: one six-letter command initiates all those anonymizing benefits.

Some bots have a Man-in-the-Middle

Bots also help herders launch Man-in-the-Middle (MitM) attacks. Most bots come with commands that allow their creators to redirect network traffic any way they like. For instance, a bot herder could tell a bot to redirect all its web traffic to his computer. Then, every time the unwitting victim (whose machine is hosting that bot) browses the Web, the attacker sees the traffic before forwarding it to its intended destination. This is one way bot masters capture sensitive information or steal login credentials.

Rxbot comes with the .redirect command. Herders can use this command to forward the network traffic destined for any TCP port, to any IP address they choose. Phatbot comes with additional redirect commands that allow it to forward GRE traffic, the special protocol used in establishing PPTP VPN connections. These examples merely hint at what a bot herder can accomplish with redirects.

Click Fraud and Poll Manipulation

Nowadays, the lure of illegal easy money motivates most bot herders. Our video shows how crooks can force their bots to click on revenue-generating Google ad words. As another example, Rxbot has a simple-yet-effective .visit command. If you send your bots this command, followed by a URL, they silently visit that URL. Here, silently is a technical term meaning the bot victim will not see her computer visit the URL. The visit happens in the background, without any web browser involvement. So, imagine you have 100,000 bots. With one command you could easily force all those bots to visit an online poll, vote, or game. If you wanted ToneDeaf UglyDork to win American Idol, you could command all your bots to visit the American Idol voting page and submit a vote. Since every vote would come from a different IP address, the results would look legitimate. And if the flaws in American e-voting aren’t fixed before 2008, bots just might elect ToneDeaf UglyDork as President, too.

Spam + IM = SPIM

Many IRC bots today have Instant Messenger (IM) and Peer-to-Peer (P2P) components in their attack arsenal. For instance, some bots allow you to send spam to IM channels (nicknamed SPIM ). Attackers commonly send malicious files or URLs to IM users, hoping to infect them with malware. Some bots incorporate commands that allow the bot herder to send these types of IM messages to his bots’ IM buddies. If those buddies then visit the URL or execute an attached file, they get infected with the herder’s bot and become minions in his botnet.

Some bots offer similar commands that help them spread via P2P applications. For instance, Agobot spreads by placing copies of itself in the share directories used by many popular P2P programs such as Kazaa and Limewire. The bot gives its file an enticing name, such as the title of a movie still in theaters. When someone downloads and runs this malicious trojan, their computer becomes another zombie.

Is it just me, or does it smell like bots in here?

In the video, we mentioned that many bots come with packet sniffers. Packet sniffers allow a bot master to see all of the network traffic that passes by his bots, and sometimes all the traffic that passes within the bot victim’s network as well. Attackers can learn a lot by sniffing a network. For instance, a bot herder might capture cleartext logins or see web cookies. They could even passively enumerate your infected network.

Agobot comes with some very advanced packet sniffing capabilities. Rather than sniffing and reporting every single packet, which creates volumes of junk for the herder to parse, Agobot allows a herder to sniff for specific strings or types of traffic. For example, you can command Agobot to capture all the web cookies it sees passing over a network. You can also specifically tell it to only sniff FTP, or IRC logins. In short, if something passes over a network in clear text, Agobot’s sniffing can pinpoint it.

Stay as sharp as the crooks

In our video and this article, we’ve listed the most common “Swiss Army blades” used in bots today. Since botnets are evolving fast, bots could have all-new blades tomorrow. For now, you can protect yourself best by understanding the threat — and following the defense measures we outline in “Malware Analysis: Botnets, Part 3.” Look for it on our Video Tutorials page beginning 17 October, 2007. #