Tystare botnät
Fredrik Klasén tror mer på att botnäten blir mindre, men fler, och dessutom att de utvecklas till att bli tystare och svårare att upptäcka. Allt för att hålla botnäten och ekonomin rullande så länge som möjligt.
– Det här gäller även bot-klienten i sig. Vi har redan sett mobila botnät ett par gånger, där man applicerar känd funktionalitet från pc-världen på smarta mobiltelefoner.
I och med en enorm förväntad ökning av antalet uppkopplade enheter i framtiden så finns risken att botnät fäster sig även här.
Men ny teknik utvecklas både den onda och på den goda sidan. Även om klienten blir bättre på att gömma sig kommer den som har ett modernt skydd ha större möjlighet att upptäcka hotet.
TechWorlds slutsats
Låt oss slå fast tre saker. Botnät genererar pengar till sina herdar, mycket pengar. Botnät har inga problem att ta till sig ny innovativ och avancerad teknologi. Botnät är beroende av mängden presumtiva klienter, vilka förväntas öka exponentiellt närmaste åren.
Sammantaget ett minst sagt gynnsamt läge för framtida botnät. Vi ser dem i miljontals pc, framförallt på Windows men allt mer ofta även på Mac. Vi ser dem i miljontals smartphones. Så kallad konceptkod för mobila botar finns redan för nedladdning. Vi ser dem i din nya uppkopplade platt-tv. Men vad du än gör – släpp inte in dem i företagsnätet.
Hur var det då med din egen pc-bot? Kör du Windows bör du vara med i ett botnät som kallas Microsoft Update. Kanske har du även installerat en app som heter Spotify. Allt är inte svart i botnätvärlden.
Så tog Kaspersky över botnätet Hlux
Hlux, även känt som Kelihos, är ett relativt stort botnät som användes för spam, kontostöld och ddos-attacker fram till hösten 2011. Kaspersky Lab lyckades med omvänd ingenjörskonst få fram viktig data om botnätet och använde den informationen för att hacka kommunikationsprotokollet och utveckla verktyg för att attackera infrastrukturen. Arbetet skedde i nära samarbete med Microsofts Digital Crime Unit.
Metoden sinkholing
För att ta över botnätet användes en metod som kallas sinkholing, en dns-teknik för att få botarna att prata med ens egna servrar stället för med botnätets kontrollservrar. Botnätet existerar alltså fortfarande, men kontrolleras på säkert sätt av Kaspersky. I slutet av september var det cirka tre tusen infekterade datorer, botar, per minut som kontaktade Kasperskys sinkhole.
Hlux, Kasperskys namn på botnätet, är ett peer-to-peer-botnät med en arkitektur bestående av kontrollnoder, routernoder och arbetsbotar.
Kontrolldatorerna drivs antagligen av botnätets ”ägare”. De maskinerna tillhandahåller kommandon till botarna och styr upp strukturen av peer-to-peer-nätverket.
Routerbotarna är infekterade datorer med publika ip-adresser. De datorerna är direkt anslutna till internet, alltså inte belägna bakom brandvägg eller nat.
Arbetsbotarna används för själva det kriminella arbetet, till exempel skräppostutskick, insamling av e-postadresser och stöld av kontouppgifter. De här botarna kan finnas på privata nät hos företag och organisationer, utan möjlighet att nås utifrån. Att de är oåtkomliga innebär en stor nackdel för peer-to-peer-nätverk. Fördelen är att de ofta har hög prestanda och är anslutna till nätverk med hög bandbredd.
Boten vill nås utifrån
En dator som blir smittad av Hlux kontrollerar om den kan nås utifrån. Om den inte kan det installerar den sig som arbetsbot. Utöver den kriminella verksamheten lagrar varje arbetsbot en adresslista över routerbotar.
Routerbotarna agerar som stamnät för Hlux. Varje routerbot lagrar en adresslista över andra botar. Utöver det agerar de som http-proxy och tunnlar anslutningar till kontrollservrarna.
Kontrollnoderna för Hlux består av en Nginx-http-server och distribuerar jobb. De deltar inte i peer-to-peer-nätverket och syns inte i några listor. Ofta finns sex kontrollservrar spridda parvis över olika ip-block och länder. Emellanåt ersätts kontrollnoderna av nya.
Varje bot i Hlux lagrar en lokal lista med upp till 500 adresser till andra botar. Dessa listor växlas och uppdateras mellan botarna i peer-to-peer-nätverket. Den dynamiska strukturen gör Hlux mycket motståndskraftig mot försök att stoppa botnätet. Botarna kontaktar aldrig kontrollnoderna direkt. Alla kommandon sprids via andra botar. Även om alla kontrollnoder försvinner kommer peer-to-peer-nätet att fortsätta jobba. Efter en tid skapas nya kontrollnoder.
För att minska risken att förlora Hlux har varje bot ett antal hårdkodade reservdomäner att falla tillbaka på. Början till slutet för Hlux var när Microsoft avregistrerade de domänerna.
Slutet för skurkarna
Det slutliga övertagandet av Hlux ägde rum när Kaspersky spred en speciell peer-adress som pekade på en kontrollnod som säkerhetsföretaget satt upp. Med sinkholing-tekniken fick de samtliga botar i Hlux att prata enbart med Kasperskys kontroller. Genom att sprida en preparerad serverlista stängde man sedan definitivt dörren för skurkarna.
Hlux styrs nu av Kaspersky och används för att samla in information om botnätet. Hittills har de samlat in runt femtio tusen ip-adresser. I samarbete med operatörer ska ägarna till de datorerna uppmärksammas på infektionen.
Källa: tinytw.se/hlux
Illustration: Jonas Englund