Så kapades botnätet

Hlux angriper Windows-datorer för utskick av skräppost.

Vi har tidigare skrivit om hur Microsoft aktivt bekämpat botnät som Waledac och Rustock.

Senaste insatsen var mot botnätet Kelihos under slutet av september (läs mer: Microsoft fortsätter jaga botnät).

Samtidigt var mjukvarujätten inte ensam om sitt arbete. De tekniska insatserna gjordes i samarbete med it-säkerhetsföretaget Kaspersky Lab.

I en blogg skriver också Kaspersky Labs it-säkerhetsexpert Tillman Werner i detalj om de tekniska åtgärder som vidtogs mot Kelhios och hur botnätstrukturen ser ut. Företaget kallar dock botnätet för Hlux istället och jämför det med Waledac, som en gång i tiden infekterat närmare 100 000 datorer och som är snarlikt Hlux i sina egenskaper.

I grunden består Hlux av tre strukturer, skriver Werner i bloggen. Den första utgörs av kontrollservrarna. Därefter kommer infekterade maskiner som agerar routrar och proxy-datorer, följt av infekterade maskiner som tar emot arbetsordrar. Dessa kallas ibland också för zombiedatorer eller bot-datorer. Den sista strukturen är också den som ansvarar för botnätets aktiviteter, i det här fallet utskick av så mycket som fyra miljarder skräppostmeddelanden per dygn.

Hlux tre strukturer: Överst kontrollservrarna, sedan proxy-datorer och till sist, i grönt - zombiedatorerna. Bildkälla: Kaspersky Lab.

Antalet kontrollservrar är oftast runt sex stycken med parvis distribution i olika länder. De infekterade bot-datorerna, som utför de order som filtreras via proxy-datorerna, utgör merparten av botnätstrukturen. I fallet Hlux rapporteras närmare 50 000 maskiner utgöra den stora delen av strukturen.

Varje infekterad bot håller reda på andra bot-datorer via en så kallad peer-list, innehållande ip-adresser till 500 andra infekterade datorer. Eftersom Hlux är riktat mot Windows-system återfinns listan också gömd i Windows-registret under sökvägen ”HKEY_CURRENT_USER\Software\Google”.

När en bot för första gången startar på en infekterad dator aktiverar den en körning av sin lokala peer-lista, som är hårdkodad i den körbara infektionsfilen, skriver Werner. Den senaste versionen av Hlux innehåller 176 ip-adresser. Den lokala listan uppdateras därefter också med information erhållen från andra bot-datorer.

När en bot sedan ansluter till en router-nod, skickar den 250 ip-adresser från sin egen lista. Den mottagande noden svarar då med att skicka 250 ip-adresser tillbaka. På så vis propageras information om routrar och andra bot-datorer på ett dynamiskt sätt genom nätverket. Det är också det som gör det så svårt att stoppa ett botnät, uppger Werner.

Techworld har samtidigt pratat med Stefan Tanase, it-säkerhetsforskare på Kaspersky Labs, som bekräftar utmaningarna.

– Moderna botnät utnyttjar exempelvis inte längre bara hårdkodade domänadresser, istället skapas en dynamisk lista på kontrolldomäner att anropa enligt en viss algoritm. Det gör det hela mycket svårare att bekämpa. Det är inte ovanligt att en lista på 1 000 nya domännamn skapas per dag och som sedan anropas i tur och ordning för att hitta en kontrollserver att erhålla kommandon ifrån, säger Stefan Tanase.

Många gånger skickas bot-kommandon också via chattservrar, så kallade internet relay chat-servrar (irc-servrar), fortsätter Tanase. Där kan vem som helst kan skapa en egen kanal för chatt eller styrning av externa tjänster och system. Det finns dessutom många tusentals sådana servrar gömma sig bakom för egna ändamål.

Bättre är läget istället om man känner till den algoritm som skapar nya anropsdomäner.

– Kan man på något sätt lista ut hur den domänanropande algoritmen i bot-koden fungerar finns vissa möjligheter att göra insatser. Genom att räkna ut vilka domäner som anropas på en given dag, kan man exempelvis förregistrera domäner och skapa en lockbetesdator, honeypot, som är ansluten till dessa. Via avlyssning genom lockbetesdatorn får man därefter värdefull information. Till exempel hur många datorer som finns i ett botnät och hur kommunikationen ser ut, säger Stefan Tanase.