Smarta botar gömmer sig
Att kontrollera, administrera och övervaka klienter på ett företagsnät kan ses som en självklarhet nu för tiden. Dessvärre kan du aldrig vara säker på att allt är okej bara genom att titta på klienten. Smarta botar kan installeras som rootkit och helt gömma sitt förehavande för operativsystemet – du upptäcker då inga tveksamma processer och om du undersöker datorns nätverksanslutningar visas ingen ovälkommen trafik.
Men om några spår lämnas hamnar dessa i system- och säkerhetsloggar. Trots det är det många företag som inte utnyttjar de infektionsloggar som klienterna skapar. Du bör använda övervakningsapplikationer för både nätverket och klienternas övriga loggar.
Om inte klienterna visar spår av skadlig kod kan trafiken ge besked.
– Övervaka nätverket och upptäck avvikelser med hjälp av system för intrångsdetektering, ids, tipsar Fredrik Klasén på F-secure.
– Leta till exempel efter saker som dns/ip-anrop från många klienter till samma adress under kort tid. Prenumerera på svartlistor för botnät så att du kan blockera kommunikation med kommandoservrar redan innan angrepp. Ett av de vanligaste tecknen på medlemskap i ett botnät är att du får abuse-mejl från din internetleverantör. Ignorera inte dem, utan gör en ordentlig undersökning för att bena ut varför det kommer.
Att avslöja botnätaktivitet i det egna nätverket kan vara knepig på gränsen till omöjligt, framförallt om botarna inte utför någon aktivitet utöver att då och då uppdatera sig.
– Många botnät behöver inte vara aktiva hela tiden, förklarar David Jacoby på Kaspersky.
– De ligger gömda på de infekterade resurserna och bara kollar efter nya instruktioner. Den trafiken kan vara krypterad eller maskerad som legitim trafik, vilket gör det svårt att med trafikanalys identifiera botnätet. Det krävs att du hittar avvikelser i form av protokoll, portar och liknande, eller att du vet vilka servrar som botnätet pratar med.
Ofta krävs flera metoder för att identifiera botnätet, men virusskyddet spelar en huvudroll. Att kombinera lokala virusskanningar med att leta avvikelser i nätverket kan avslöja skumma aktiviteter. Om botnätet är aktivt är det mycket enklare att identifiera botnätet – dessvärre har det då redan orsakat viss skada.
Vad botnäten kan åstadkomma har länge varit detsamma – skicka skräppost, utföra ddos-attacker, installera webbservrars för att lagra olagligt material och installera tangentloggar, för att nämna några användningsområden. Vad som ändrats den senaste tiden är främst kommunikationen, synligheten och arkitekturen.
– Kommunikationen har gått från enkla kontakter med irc-servrar, webb och ftp till peer-to-peer. Styrningen sker numera allt oftare via sociala medier som Facebook, Twitter och Google Groups. Men många av de större botnät som upptäcks nyligen har drivits av klassiska kommandoservrar. Skillnaden ligger i stället i hur nätverksarkitekturen och kommunikationen är uppsatt, säger Fredrik Klasén på F-secure.
Tekniker som dynamisk dns och fastflux är exempel på nyheter inom botnäten. Nytt är även var servrarna placeras.
– Det finns många mindre hederliga tjänsteleverantörer som levererar ”bulletproof hosting”. De ignorerar vad servrarna används till och påstötningar från myndigheter. Överlag har botnäten dessutom blivit mer redundanta i sin arkitektur för att överleva så länge som möjligt, säger Fredrik Klasén.
Större och mer avancerade
David Jacoby menar att botnäten framförallt blivit större och mer avancerade i form av kryptering, distribution och kommunikation.
– De har väl utvecklats tillsammans med resten av den skadliga koden vi ser i dag. De blir svårare att bli av med och svårare att identifiera. Och botnäten genererar mycket pengar numera, det är också är en förändring.
Han ser en tydlig trend; framtidens botnät kommer bli mer decentraliserade, vilket gör det mycket svårare att hitta den gemensamma nämnaren och kunna stoppa det.
– Eftersom vi får fler och fler uppkopplade enheter misstänker jag också att botnäten kommer att växa. Det handlar inte om att virusskyddsföretagen blir sämre, utan om att det helt enkelt kommer finnas fler uppkopplade enheter att infektera.