Botnets. Martin Berggren (marbe173) Klass: IT1 (Civilingenjör Informationsteknologi, årskurs 1) Linköpings Universitet

Transkript

1 Författare: Rebecca Ocklind (reboc207), Martin Berggren (marbe173) Klass: IT1 (Civilingenjör Informationsteknologi, årskurs 1) Skola: Linköpings Universitet

2 1(14) Bild på titelsida: Namn: hacker-botnet.png Källa: Google bildsökning, sökord Botnet

3 2(14) Sammanfattning Den här rapporten är tänkt att ge en inblick i hur botnets fungerar och hur dessa sprids. Med hjälp av den informationen vill vi sedan ge våra tankar på hur man kan skydda sig mot botnets, dels hur man slipper bli en del av dem men också några tankar om hur man kan skydda sig mot botnets i stort. Ett botnet är ett nätverk av datorer, även kallade zombies, som är tänkta att utföra diverse kriminella handlingar. Anledningen till att de kallas zombies är för att deras ägare är omedveten om vad datorn håller på med. Istället kontrolleras dem av en illasint människa som skapat den skadliga koden som infekterat datorerna. Hur går det egentligen till när ett botnet sprids? Vad används dem till? Hur stora kan de bli och hur undviker man hotet från botnets? Allt detta och lite till om ni fortsätter läsa denna rapport.

4 3(14) Innehållsförteckning 1. INLEDNING SYFTE METOD OCH KÄLLOR VAD ÄR ETT BOTNET OCH HUR FUNGERAR DET? MALWARE TYPER AV ATTACKER SYN FLOOD SPYWARE SPAM MAIL KÄNDA BOTNETS DISKUSSION REFERENSLISTA... 13

5 4(14) 1. Inledning är ett vanligt förekommande fenomen i dagens samhälle. skapas av elaka människor som sprider skadlig programvara tänkt att infektera allmänhetens datorer och binda samman dessa i nätverk. Vi heter Martin och Rebecca, går på civilingenjörsprogrammet i informationsteknologi på Linköpings tekniska högskola. Den här rapporten som handlar om botnets har vi skrivit för i kursen Datornät och internetprotokoll (TDTS09). Anledningen till att vi valde detta ämne var för att vi tycker att det är intressant. Vi ville lära oss mer om det här och kände att det kunde bli en intresseväckande rapport Syfte Syftet med det här projektet var att skapa oss en djupare förståelse för hur ett botnet fungerar och vad det används till vilket vi sedan har försökt förmedla i vår rapport. Vi berättar om några kända botnets som vi länge kommer minnas. Vi berättar också hur stora dessa kan bli, och vilka vägar dess skapare kan välja för att få så bra spridning som möjligt. Slutligen vill vi använda vår insamlade kunskap i ämnet till att ge några enkla riktlinjer och tips på hur man kan undvika att drabbas Metod och källor Att skapa ett eget botnet var något vi först övervägde och konstaterade att det nog inte vore helt omöjligt med gör-det-själv -trojaner och diverse andra knep. Visst vore det intressant och lärorikt på många sätt men vi har ändå begränsat oss till att inte göra det på grund av sympati till våra medmänniskor samt pågrund av universitetets regler. För att sammanställa fakta i vår rapport skapade vi oss en baskunskap i ämnet med hjälp av boken Computer Networking - A top-down approach av James F. Kurose och Keith W. Ross. Därefter fortsatte vi jakten på fakta endast med hjälp av elektroniska källor. Detta för att vi anser att botnets är ett ämne som föråldras snabbare än böcker trycks.

6 5(14) 2. Vad är ett botnet och hur fungerar det? När man pratar om ett botnet menar man ett flertal datorer som blivit infekterade av en anfallare eller snarare tagits över via någon form av skadlig kod. Dessa datorer, även kallade zombies, ingår sedan i ett dolt nätverk där de kan kommunicera med varandra. Personen som fått datorerna att ingå i detta nätverk kan på detta vis sedan utföra t.ex. olika kriminella handlingar. Ett botnet används ofta för att tjäna pengar genom att hyras ut till andra. Den samlade datorkraften säljs t.ex. för att skicka spam-mail eller stjäla personuppgifter och kreditkortsinformation. För att hitta andra datorer som kan värvas till nätverket sprids samtidigt så kallat malware på internet. Malware innebär t.ex. virus, maskar, trojanska hästar och keyloggers. Hur man blir en del av ett botnet kan ske på en mängd olika sätt. Det vanligaste är att man klickar på en länk på en hemsida som är preparerad att infektera datorn. Ett annat sätt som kan göra att man blir en del av ett botnet är t.ex. om man laddar ner en fil innehållande ett virus, exempel på sådana filer kan vara bilagor till spam-mail Malware Det finns många olika sätt för de onda människorna att ta sig in i din dator. De vanligaste typerna av skadlig kod beskrivs i det här avsnittet. Virus Ett virus är ett litet datorprogram som sprids genom att göra en kopia av sig själv i ett värdprogram (vanligtvis i explorer.exe). Detta gör att viruset körs varje gång värdprogrammet körs. Viruset kan sedan spridas från dator till dator genom att t.ex. användaren skickar programmet över internet till någon annan eller via en CD-skiva, USB-enhet eller liknande. 2 Internetmask En internetmask sprider, till skillnad från ett virus, sig själv från dator till dator över internet 1 Teknikbrunnen, RUBotted skyddar dig mot botnät och trojaner 14/ Wikipedia Computer Virus 4/2-2011

7 6(14) utan att behöva hjälp från en användare. Detta gör att en mask ofta behöver någon form av säkerhetshål för att kunna sprida sig. Masken kopierar sig själv till mailadresser lagrade i datorn och sprider sig vidare på samma sätt. Trojansk häst Den trojanska hästen, även kallad trojan, är ett program som utger sig för att vara något det inte är och när användaren har lurats att ladda ner programmet sprids viruset. 3 Syftet med den här typen av virus kan vara att försöka komma åt hemlig information som olika typer av lösenord eller för att ta kontroll över din dator. 4 Keylogger En keylogger är en typ av programvara som kan registrera var man trycker på tangentbordet för att på så sätt ta reda på t.ex. lösenord som sedan skickas till förbestämd adress. Keyloggern läggs oftast in i ett annat program, när någon laddar ner programmet får personen även med en keylogger. Detta sker utan användaren av tangentbordets vetskap. Keylogging kan förutom detta mjukvarubaserade sätt även ske på andra vis, allt från hårdvaru- och mjukvaru-baserade tillvägagångssätt till elektromagnetiska och akustiska analyser. Det hårdvarubaserade tillvägagångssättet innebär att man placerar en "kontakt" i datorn som registrerar det som görs på datorn. Det elektromagnetiska tillvägagångssättet innebär att man läser av de elektromagnetiska signalerna från datorn och på så sätt ser vilka tangenter som trycks ner. De elektromagnetiska signalerna kan plockas upp på ett avstånd upp till 20 meter utan att på något sätt vara kopplad till datorn. De akustiska keyloggarna spelar in tangentryckningarna och därefter kan man mappa ljudet till rätt tangent. 5 3 WindowsLive, Datorvirus 2/ Christian mjukvara.se, Trojansk häst! Vad är en trojansk häst!, 23/ Wikipedia - Keystroke logging 10/2-11

8 7(14) 3. Typer av attacker En vanlig attack, som ska hindra normal användning av datasystemet, är Denial of Service (DoS) eller Distributed Denial of Service (DDoS). De här attackerna är egentligen samma sak men man brukar säga att om personen som utför attacken enbart har en värd är det en DoSattack. Om personen istället använder sig av många olika värdar (d.v.s. ett botnet) klassificeras attacken som en DDoS-attack. Dessa tar upp all tillgänglig bandbredd. En DDoS attack går ut på att en stor mängd anrop, med en förhållandevis liten mängd data, samtidigt skickas till ett datorsystem eller nätverk från flera olika datorer. Detta gör att det utsatta systemet blir överbelastat på grund av alla anropen SYN flood En typ av DDoS-attack är SYN flood. Normalt sett när en klient försöker starta en TCPanslutning till en server utbyter dessa en rad meddelanden. Det ser ut ungefär så här: 1. Klienten gör en förfrågan om att starta anslutningen genom att skicka ett SYN(synchronize) meddelande till servern. 2. Servern bekräftar detta genom att skicka SYN-ACK (acknowledge) tillbaka till klienten. 3. Klienten bekräftar detta genom att skicka tillbaka ett ACK-meddelande och därefter är anslutningen klar. Detta kallas för TCP three-way handshake. När en dator attackeras av SYN flood skickar anfallaren extremt många SYN-meddelanden samtidigt. Servern skickar som vanligt tillbaka SYN-ACK men får inget ACK tillbaka. Servern har då redan lagt undan plats för att kunna ta emot ett ACK-meddelande, som den alltså inte får, och tar därför upp minne i onödan. Detta tar upp bandbredd och gör att prestandan försämras. Om en annan användare sedan försöker koppla upp sig till SYN flood, bild1 6 Wikipedia Denial-of-service attack, 21/2-2011

9 8(14) servern går inte detta för att servern vägrar att öppna en anslutning eftersom att den fortfarande är upptagen med den förra processen. 7 8 Förutom DDoS-attacker finns många andra olagliga aktiviteter som botnets kan ägna sig åt. Här följer några exempel Spyware Spyware, eller egentligen spionprogram, installeras på datorn utan användarens vetskap och samlar därefter information från datorn. Detta kan såklart vara mer eller mindre allvarligt. Syftet med det är att t.ex. marknadsföra, samla in information eller att ändra en dators inställningar. Vissa spionprogram samlar information för att kunna välja vilken reklam som ska visas för användaren medan andra spionprogram samlar information som t.ex. lösenord och kreditkortsnummer. Ett spionprogram är ofta kopplat till ett program som samlar in känsliga uppgifter eller program som kallas adware. Adware är program som visar reklam på datorn Spam-mail Spam-mail är oönskade meddelanden skickade till din mail-adress. Dessa mail brukar innehålla olika erbjudanden mot en avgift eller länkar till sidor. Spam-mailen kan skickas ut av privatpersoner eller av företag som har köpt tillgången till ett botnet där miljontals klienter kan hjälpas åt att skicka ut spam. Orsaken till att man gör detta är för att om man skickar ut spamet till en miljon adresser så räcker det med att personer svarar på detta, så tjänar spammaren mellan och kronor. Därför finns det numera en lagstiftning mot detta inom EU och i USA Wikipedia SYN flood, 22/ Okänd Internet Security Systems, SYN flood, 25/ Okänd Microsoft, Vad är spionprogram?, 23/ Okänd RFSL, En kort introduktion till SPAM, okänt publiceringsdatum

10 9(14) 4. Kända Runt om i världen finns det många människor som utvecklar smartare och effektivare skadlig programvara som de sedan använder för att skapa större botnets. Deras lösningar är ofta otroligt genomtänkta och infekterar hundratusentals datorer på bara några få dagar efter lanseringen. Problemet dessa elaksinnade människor stöter på är alla de personer som direkt kommer göra allt för att motverka spridningen av den skadliga koden. T.ex. så kommer alla antivirusföretag göra sitt yttersta för att så snabbt som möjligt kunna erbjuda sina kunder en uppdatering som klarar av att bli kvitt det nya hotet. Detta gör att omsättningen av botnets är hög. Ett exempel på det är den av Damballa nyligen publicerade listan över de tio mest fruktade botneten år Granskar man den noggrannare ser man att bland dessa tio botnets så existerade bara fyra av dem år 2009 och endast ett av dem var på top 10 under Att tro att man kan behålla botnet-tronen en längre tid vore därför dumt, man är ändå bara en i raden av botnets som sprids över en natt för att sedan försvinna lika snabbt. Ändå finns det vissa botnets vars namn man inte glömmer riktigt lika snabbt och det beror oftast på att de lyckats åstadkomma något särskilt. Storm är ett sådant botnet. Det upptäcktes tidigt 2007 och spred sig snabbt via . Ämnena i dessa var finurliga och intresseväckande saker, alltifrån att Saddam fortfarande är vid liv till stormar som bryter ut i Europa. Därifrån kom också namnet storm. Storm hade sin topp runt september 2007 då det beräknades kontrollera ända upp till 50 miljoner botar. 12 Men sedan gick det utför för Storm, Microsoft uppdaterade sitt verktyg för att göra sig av med skadlig kod (MSRT) för att kunna hantera storm i slutet av september Storm sågs för sista gången i slutet av 2008, något mindre än två år efter starten. Ett annat botnet man sent kommer glömma är det lite speciella Conficker. Conficker började spridas i november 2008 genom att utnyttja ett säkerhetshål i Windows nätverkstjänst. Conficker spred sig väldigt effektivt och inom två månader var över femton miljoner datorer smittade. Vad som ansågs mycket märkligt var att Conficker hittills inte använts till någon form av kriminell verksamhet såsom spam-mail, insamling av information eller attacker. 11 Damballa, Top 10 Botnet Threat Report 2010, Kevin Neoseeker, Worm Storm gathers strength, 7/9-2007

11 10(14) Microsoft utlyste i februari 2008 en dollars belöning till den som kunde ange vem eller vilka som låg bakom Conficker. 13 Tidigt i april samma år kom en uppdatering till alla Confickerbotar som var programmerad till självutplåning den tredje maj. Efter det har vi inte hört mer rörande Conficker-historien. Kanske blev upphovsmännen skrämda av Microsofts enorma belöning till dem som kunde ange skaparna. 5. Diskussion All fakta som vi samlat in kring hur botnets fungerar, hur de används och hur de sprider sig, har vi använt för att ge några förhoppningsvis hjälpfulla tips om hur man slipper all ondska som allt fler blir utsatta för i form av just botnets. När vi beskriver våra tankar kring hur man ska skydda sig mot botnets så delar vi in skyddet i två olika kategorier. Dels hur man skyddar sig från att bli en del av ett botnet men också hur man skyddar sig från diverse attacker från botnets såsom spam och DDoS-attacker. Så hur kan man undvika att bli en del av ett botnet? Det handlar till mycket stor del om sunt förnuft och att helt enkelt identifiera och undvika de vanligaste sätten som botnets sprids på. Det viktigaste tipset vi kan ge är att aldrig öppna bilagor eller klicka på skumma länkar såvida du inte är helt säker på vad det är för något. Att stanna på säkra webbsidor är också att rekommendera då så kallade underground -sidor ofta har popups och vilseledande reklamrutor. Dessa är ofta falska och när du följer deras uppmaningar så går du i fällan och din dator förvandlas till en zombie. En annan viktig skyddsåtgärd är att se till att ha en brandvägg utan onödigt många undantag. Ett misstag som alldeles för många begår är att ha en avstängd brandvägg, se därför till att din är igång. Detta minskar risken för oönskade inkommande anslutningar. Ett liveuppdaterande antivirusprogram är också något vi starkt vill uppmana till. En anledning till detta är det vi tidigare nämnt om att de stora antivirusbolagen arbetar snabbt med att ta fram lösningar på nyfunna säkerhetshot. Slutligen så är det viktigt att hålla Windows uppdaterat då det hela tiden släpps uppdateringar som täcker igen olika säkerhetshål som virusskaparna använder sig av. 13 Claudine the Telegraph, Microsoft offers $250,000 bounty for Conficker creators, 13/2-2009

12 11(14) Men vad gör man om man misstänker att man redan är en del av ett botnet? Och hur kan man veta det? För några år sedan var det lättare att upptäcka då datorn ofta kändes mycket seg och internetanslutningen långsam. Men med dagens betydligt snabbare datorer och 100Mbit/s uppkopplingar är det svårare att upptäcka att din dator används av någon mer än dig. Ett tips från Lidija Davis 14 är att stänga webbläsaren, mailklienter och andra program som kan tänkas använda din internetanslutning och sedan öppna aktivitetshanteraren (ctrl-shift-esc). Där går man till nätverksfliken och kollar om internetanslutningen används. Om den används mer än någon enstaka procent så finns det risk för att din dator är smittad av någon form av skadlig programvara och kanske används i ett botnet för att till exempel skicka ut spam-mail i detta nu. Att bli av med den illasinnade programvaran kan ofta vara mycket svårt, om ditt virusskydd svikit dig och släppt in något så är chanserna att det ska få bort det inte alltid så stora. Men om det i alla fall kan tala om vad det är som gömmer sig i din dator så brukar en datorvan person kunna googla sig till en lösning för att rensa datorn. Observeras bör att detta inte på något sätt är hundraprocentigt, nya virus blir bara bättre och förökar sig ofta snabbt på din dator. Att få bort dem helt kan därför vara nästan omöjligt utan en fullständig formatering och ominstallation av operativsystemet. Detta är den enda säkra lösningen för att garanterat bli av med all skadlig programvara på din dator. Att skydda sig mot diverse attacker från botnets kan i vissa fall vara mycket svårt. Svårigheten att skydda sig mot attacker är en av anledningarna att de blivit så populära. Alla större mail-tjänster erbjuder spamfilter men i takt med att spam-mail skickas från fler och fler ip-adresser till färre offer åt gången gör det svårare för spamfiltren att upptäcka potentiella hot. Botnet-attacker i form av t.ex. DDoS attacker har våra internet leverantörer gjort stora framsteg för att skydda oss mot, bland annat genom routrar som dumpar trafiken när mycket data skickas mot samma server. Men om man verkligen vill skydda sig mot botnets så kan man tillämpa det gamla talesättet anfall är bästa försvar. För att bli av med ett botnet så finns det exempel på lyckad reverse engineering för att återskapa en bots källkod, och därmed förstå hur den tänker, och använda 14 Lidija ReadWriteWeb, Is your pc part of a botnet?, 15/3-2009

13 12(14) det för att t.ex. angripa den styrande datorn i nätet. Några som lyckats med detta är Pedram Amini och Cody Pierce gick de till motattack mot ett av världens dåvarande största botnets, Kraken. Tack vare att de kunde simulera ett infekterat operativsystem och på så sätt studera hur boten fungerade kunde de återskapa ip-listan som varje nyinfekterad bot försökte ansluta till för att nå den som skulle styra dem. Det visade sig att den riktiga kommandoservern hade en ip-adress som befann sig förhållandevis långt ned på denna lista. Det Cody och Pedram gjorde då var att registrera sig på första adressen i listan som botarna var programmerade att kontakta. Efter att ha knäckt den 32 bitar långa koden som boten förväntar sig från servern för att bekräfta att den är äkta så kunde de sätta upp sin egen låtsasserver. De körde servern i 7 dagar och fick över unika anslutningar från infekterade maskiner. Vad kan man då ha för nytta av detta? Jo poängen är den att man i nyare skadlig programvara ofta lägger till funktionen att uppdatera. Cody och Pedram hade alltså möjligheten att uppdatera dessa tjugofemtusen datorer för att helt enkelt ta bort Krakenbotarna. På liknande sätt har flera stora botnets fallit men också blivit övertagna av andra illasinnade personer och på så sätt bytt ägare.

14 13(14) Referenslista Elektroniska referenser [1] RUBotted skyddar dig mot botnät och trojaner, publicerad 14/11-10, hämtad, författare teknikbrunnen [2] Computer Virus, senast ändrad 4/2-11, hämtad, författare Wikipedia [3] Datorvirus, senast ändrad 2/12-10, hämtad, författare WindowsLive [4] Trojansk häst! Vad är en trojansk häst!, publicerad 23/4-09, hämtad, författare Christian mjukvara.se [5] Keystroke Logging, senast ändrad 10/2-11, hämtad, författare Wikipedia [6] Denial-of-service attack, senast ändrad 21/2-11, hämtad, författare Wikipedia [7] SYN flood, senast ändrad, hämtad, författare Wikipedia [8] SYN flood, senast ändrad 25/4-03, hämtad, författare Internet Security System [9] Vad är spionprogram?, senast ändrad 23/10-06, hämtad författare Microsoft [10] En kort introduktion till SPAM, okänt publiceringsdatum, hämtad, författare RFSL [11] Report.pdf Top 10 botnet threat report 2010, publicerad 02-11, hämtad, författare Damballa

15 14(14) [12] Worm Storm gathers strength, senast ändrad 7/9-07, hämtad, författare Kevin [13] Microsoft offers $250,000 bounty for Conficker creators, senast ändrad 13/2-09, hämtad, författare Claudine The Telegraph [14] Is your pc part of a botnet?, senast ändrad 15/3-09, hämtad, författare Lidija ReadWriteWeb Bildreferenser [SYN flood, bild1] TCP_synflood.png, okänt publiceringsdatum, hämtad, okänd skapare