Botnet, sieć wielu komputerów zainfekowanych szkodliwym oprogramowaniem jest sterowana przez operatora, który kontroluje tak utworzoną strukturę. Sieć wykorzystywana jest typowo do wysyłania spamu, przechwytywania kluczy licencji czy wykradania danych bankowych. Ale coraz częściej botnet jest wykorzystywany do ataków rozproszonych DDoS, także w formie usługi.

Sieci wykorzystywane są również do masowych ataków, wykorzystujących znane podatności różnych systemów. Przykładem może być Mayhem, który sprawdza podatność na luki w interpreterze BASH systemu Linux.

Topologia struktury

Klasyfikacja struktur botnet nie jest łatwa. Podział jest zależny od przeznaczenia tworzonej architektury. Wszystkie struktury funkcjonują w oparciu o jeden lub kilka serwerów administracyjnych C&C (Command & Control). Serwer C&C zarządza zainfekowanymi maszynami, monitoruje ich status i przesyła instrukcje do wykonania.
Najprostszą strukturą sieci botnet jest centralna architektura, w której centralnie umieszczony serwer C&C zarządza siatką bezpośrednio przyłączonych maszyn. W strukturze zdecentralizowanej, zainfekowane maszyny nie są bezpośrednio przyłączone do serwerów C&C. Tworzą własną strukturę kratową, w której komendy są przesyłane także bezpośrednio pomiędzy zainfekowanymi maszynami. Najpopularniejsze nazwy sieci botnet to Zeus, DroidDream, SmartRoot, AnserverBot, Ikee.B, TigerBot.
Botnet to narzędzia stanowiące medium do rozprzestrzeniania się szkodliwego oprogramowania, rozsyłania spamu, badania podatności na określone zagrożenia. Zazwyczaj walka z botnetami koncentruje się w zakresie ochrony punktów końcowych. Powstaje pytanie, co w tej sytuacji może zrobić operator?

Techniki blokady sieci botnet

Najbardziej skutecznymi sposobami walki z siatkami botnet jest zapewnienie bezpieczeństwa stacji roboczych. Przeważnie wystarczającym mechanizmem jest aktualne oprogramowanie antywirusowe oraz zapora ogniowa. Administrator ma możliwość przekonania użytkowników do czyszczenia i utrzymywania odpowiedniego poziomu zabezpieczeń własnych komputerów. Z drugiej strony istnieją ataki – przykładowo „0-day attack” – często niewykrywane przez oprogramowanie antywirusowe. W tym miejscu tylko operatorzy mogą interweniować.
Najprostsze techniki do implementacji po stronie ISP polegają na blokowaniu serwerów sterujących botnet (C&C – Command and Control), a także zainfekowanych hostów wewnątrz sieci. Operatorzy ISP mogą monitorować ruch i podnieść interakcję z użytkownikami, informując ich o możliwych infekcjach. Przeważnie wskazane czynności wymagają znaczącej interwencji administratora bezpieczeństwa określonej sieci, ponieważ brak jest mechanizmów automatyzujących zadanie. Metoda obrony wiąże się z wyłączeniem serwerów kontrolujących siatkę zainfekowanych maszyn. O ile metoda ta jest dość skuteczna, to niestety krótkotrwała. Serwery zawsze mogą zostać zamienione na inne.
W wielu przypadkach ISP wykrywają infekcje na komputerach klientów. Może to być przykładowo zrealizowane poprzez analizę przepływów NetFlow. Można także wykorzystać do tego celu wykrywanie ataków DDoS oraz wysyłających spam. Innymi metodami mogą być także sondy spamu czy „garnki miodu” (honeypots). Jeżeli wykryta zostanie podejrzana aktywność, możemy wykorzystać technikę nazwaną „walled garden’. Zainfekowana maszyna zostanie odłączona od Internetu, a wszystkie zapytania Web będą przekierowane na stronę informującą o zagrożeniu.
Operatorzy walczą z sieciami botnet również poprzez technikę BGP Blackholing. BGP jest protokołem trasowania pomiędzy ruterami o różnych systemach autonomicznych AS (autonomous systems). Technika BGP Blackholing pozwala odrzucać cały przychodzący ruch z AS, który zawiera hosty atakujące docelowy AS. Znanym sposobem na działalność sieci botnet ukierunkowanych na wysyłanie spamu jest blokada portów (przykładowo TCP 25). Usługi na wielu serwerach poczty są dostępne poprzez port TCP 587. Blokady rozprzestrzeniania się zagrożeń mogą także blokować czarne listy (blacklist). W szczególności warto wyróżnić czarne listy SSL, Sinkhole, URL.

DNS Sinkhole

DNS Sinkhole jest techniką przeznaczoną do analizy ruchu sieciowego z definicji generowanego przez szkodliwe oprogramowanie, także sieci botnet. Eksperci bezpieczeństwa analizują wychodzące zapytania DNS dla podejrzanych domen. Kolejno następuje proces powiązania zapytań DNS z parametrami komunikacji, występującymi pomiędzy zainfekowaną maszyną a celem, a także określoną domeną obsługującą serwery kontrolujące siatkę. Administrator konfiguruje serwer DNS dla wychodzącego ruchu tak, aby zwracał fikcyjny adres IP w odpowiedzi na zapytania o podejrzane domeny. Wszystkie komputery, które zwrócą się o rozwiązanie danej nazwy nie uzyskają dostępu do rzeczywistej strony. W rzeczywistości DNS Sinkhole realizuje podszywanie się za autorytatywny DNS dla podejrzanych domen.
DNS Sinkhole może stanowić technikę wykorzystywaną do niszczenia botnetów poprzez przerwanie dostępu bota do serwera kontrolującego. Może zostać także wykorzystane do monitorowania lub badania aktywności siatki botnet. Najczęściej źródłem list domen szkodliwych są raporty firm bezpieczeństwa, ale także wyniki pochodzące z systemów IDS/IPS. Implementacja techniki DNS Sinkhole nie wymaga od administratora znaczących zmian w konfiguracji sieci.

SSL Blacklist

Nowy projekt SSL Blacklist walczy z sieciami botnet poprzez stworzenie archiwum wszystkich certyfikatów SSL, wykorzystywanych do nielegalnej aktywności. W ostatnich latach eksperci bezpieczeństwa odkryli wiele przypadków, w których przykładowo do komunikacji w strukturach botnet wykorzystywane są certyfikaty SSL. Zarządzający siecią botnet oraz częściej wykorzystują SSL do ochrony ruchu pomiędzy systemem zarządzającym C&C (command and control) oraz zainfekowanymi maszynami. Certyfikaty wykorzystywane w tym procesie są śledzone i umieszczane na czarnej liście określanej jako SSL Blacklist. SSLBL jest listą dostępną w ramach projektu Abuse.ch. Lista zawiera SHA-1 Fingerprint każdego certyfikatu, dodatkowo zawierający opisem powodu umieszczenia w bazie. Administrator korzystający z projektu, może blokować ruch posługujący się zablokowanymi w bazie certyfikatami. Projekt SSL Blacklist to kolejny element układanki walki z botnetami.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn