Botnets. Martin Berggren (marbe173) Klass: IT1 (Civilingenjör Informationsteknologi, årskurs 1) Linköpings Universitet



Relevanta dokument
Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Antivirus Pro Snabbguide

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Installation av. Vitec Online

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Din manual MCAFEE TOTAL PROTECTION

Att komma igång med FirstClass (FC)!

ESET NOD32 ANTIVIRUS 8

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

E-post för nybörjare

En handledning för studerande på Högskolan Kristianstad

Mer information om snabbinstallation finns på baksidan.

Hur BitTorrent fungerar

Säkerhet Användarhandbok

Säkerhet Användarhandbok

Beställnings- och installationsguide av Dubbelskydd

Säkerhet Användarhandbok

Steg 4 b. Molntjänster Onedrive Office 365 Windows 10. Mars -16 Liljedalsdata.se. Liljedalsdata Molntjänster En del av steg 4 Sida 1

ELMIA WLAN (INTERNET)

Kom igång med Windows 8.1

Real-time requirements for online games

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

WINDOWS 8.1. Grunder

Net id OEM Användarhandbok för Windows

Microsoft Windows 8 Grunder

Lathund för att arbeta med pdf

Ovanliga Tips till ett Smalare Liv av Seif Fendukly Alla rättigheter förbehålls.

Kom igång med din SMART Board. Det praktiska

Grundläggande säkerhet för PC, mobil och läsplatta. Joakim von Braun Säkerhetsrådgivare von Braun Security Consultants Senior Net Danderyd

Tack för att du använder Vanderbilts webbplats. Vi vill nedan upplysa dig som användare av Vanderbilts webbplats om våra användarvillkor.

Din manual MCAFEE VIRUSSCAN PLUS

Lumbago - Förord. Välkommen till Journalprogrammet Lumbago.

F-Secure Anti-Virus for Mac 2015

Manual C3 BMS för Android-telefoner

Manual för version V2

Google Apps For Education

INFORMATIONSSÄKERHETSÖVERSIKT 3/2009

Manual Nedladdningsbara klienten NLK

4 proffstips för icloud

De största hoten mot ett företags informationssystem

GIT L0002B INTRODUKTION TILL PROGRAMMERING OCH C# Information inför kursstart

Den här texten ska förhoppningsvis underlätta en del av anpassningarna. Det kan säkert finnas en del fel och annat tok.

Liten introduktion till akademiskt arbete

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Information om avtal och föreskrifter kring 1-1- dator

Nå Framgång på Instagram En guide till små och medelstora företag

Till närstående som ska vara med vid samordnad vård- och omsorgsplanering via video eller telefon

============================================================================

Syfte...1 Omfattning...1 Beskrivning...1

Innehållsförteckning. Manual WebCT

Virus och andra elakartade program

Åtkomst och användarhandledning

Sammanfattning av enkäten en till en projektet

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Tekniska system och deras funktion och uppbyggnad.

Vad roligt att ni har valt att bjuda varandra på den här timmen.

DIG IN TO Nätverkssäkerhet

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Microsoft Windows 10 Grunder

2. Komma igång Skapa grupper och elever Skriv också ut sidan 13 så att eleverna har en snabbguide till programmet.

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

KiVa Skola situationskartläggningen 2016 sidan 1/31. KiVa Skola situationskartläggningen 2016 sidan 2/31

B2C för Svensk Elitfotboll Urval

LAJKA-GUIDE. 8 smarta tips som gör dig till. Dropbox-kung. 7 Dela filer som länkar 7 Höj säkerheten 7 Förhandsgranska dokument och fem andra tips

SmiNet 2 Manual Webanmälan

ALLMÄNNA VILLKOR PRIVATPERSONER

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: Fastställd av: Johan Fritz Fastställd:

Snabbguide för Universal skrivardrivrutin

ThinkPad G40-serien Installationsanvisningar

Instruktion: Trådlöst nätverk för privata enheter

Föreläsning 3.1: Datastrukturer, en översikt

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

PCI ETHERNET CARD 100 MB

Android-app Användarmanual 1.0

7 Mamut Client Manager

Generell IT-säkerhet

Så här skrivs faktablad om MSB-finansierade forskningsprojekt

Prova på-laboration i PHP Johan Sjöholm johsj@ida.liu.se Institutionen för datavetenskap, Linköpings universitet

Det finns bättre sätt än att sluta använda Internet.

Manual Sportident Onlinekontroll via GPRS

Tanka program KAPITEL 7. Shareware och freeware. Shareware. Freeware

BOOK-IT OFFLINE. Version

Telefonist i 3Växel webb.

Manual ipad och Netpublicator

nivå 1 1. Du kan bli beroende av sociala medier. Det betyder att du hela tiden vill använda dem och att du inte kan sluta använda dem.

Enkelt på bara två A-4sidor så det går snabbt att få en uppfattning om företaget. Faktablad - framsida. 1 av :16

The Pirate Bay-rättegången, dag 6 Fritt nedtecknat

ZA4981. Flash Eurobarometer 250 (Confidence in Information society) Country Specific Questionnaire Sweden

Användarmanual Jobb i Stan. CV-Handboken. Registrering, jobbsökning mm. Copyright Aditro. All rights reserved.

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning

Ändra, kopiera eller radera publikation (staff)

Studentguide Adobe Connect Pro

Routerinställning. Denna guide tar dig genom de enkla steg som behövs för att ställa in routern så den fungerar trådlöst.

Bring The Windows 7 Start Menu to Windows 10 with Classic Shell

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

eller Övningar i filhantering Tema: Mappar och filer i Windows samt Lagringsenheterna OBS! Endast för medlemmar i SeniorNet, Klubb Södertälje!

Användarmanual till AD OnLine

Installationsanvisning för kursens programvara på egen dator

Jag rek. starkt att alla uppgraderar sin TomTom till version 5 eller högre då massor av nya funktioner och en betydande prestandaskillnad finns.

Internethistoria - Situation

Transkript:

Författare: Rebecca Ocklind (reboc207), Martin Berggren (marbe173) Klass: IT1 (Civilingenjör Informationsteknologi, årskurs 1) Skola: Linköpings Universitet

1(14) Bild på titelsida: Namn: hacker-botnet.png Källa: Google bildsökning, sökord Botnet http://cache.blippitt.com/wp-content/uploads/2010/02/hacker-botnet.png

2(14) Sammanfattning Den här rapporten är tänkt att ge en inblick i hur botnets fungerar och hur dessa sprids. Med hjälp av den informationen vill vi sedan ge våra tankar på hur man kan skydda sig mot botnets, dels hur man slipper bli en del av dem men också några tankar om hur man kan skydda sig mot botnets i stort. Ett botnet är ett nätverk av datorer, även kallade zombies, som är tänkta att utföra diverse kriminella handlingar. Anledningen till att de kallas zombies är för att deras ägare är omedveten om vad datorn håller på med. Istället kontrolleras dem av en illasint människa som skapat den skadliga koden som infekterat datorerna. Hur går det egentligen till när ett botnet sprids? Vad används dem till? Hur stora kan de bli och hur undviker man hotet från botnets? Allt detta och lite till om ni fortsätter läsa denna rapport.

3(14) Innehållsförteckning 1. INLEDNING... 3 1.1. SYFTE... 4 1.2. METOD OCH KÄLLOR... 4 2. VAD ÄR ETT BOTNET OCH HUR FUNGERAR DET?... 4 2.1. MALWARE... 5 3. TYPER AV ATTACKER... 7 3.1. SYN FLOOD... 7 3.2. SPYWARE... 8 3.3. SPAM MAIL... 8 4. KÄNDA BOTNETS... 9 5. DISKUSSION... 10 REFERENSLISTA... 13

4(14) 1. Inledning är ett vanligt förekommande fenomen i dagens samhälle. skapas av elaka människor som sprider skadlig programvara tänkt att infektera allmänhetens datorer och binda samman dessa i nätverk. Vi heter Martin och Rebecca, går på civilingenjörsprogrammet i informationsteknologi på Linköpings tekniska högskola. Den här rapporten som handlar om botnets har vi skrivit för i kursen Datornät och internetprotokoll (TDTS09). Anledningen till att vi valde detta ämne var för att vi tycker att det är intressant. Vi ville lära oss mer om det här och kände att det kunde bli en intresseväckande rapport. 1.1. Syfte Syftet med det här projektet var att skapa oss en djupare förståelse för hur ett botnet fungerar och vad det används till vilket vi sedan har försökt förmedla i vår rapport. Vi berättar om några kända botnets som vi länge kommer minnas. Vi berättar också hur stora dessa kan bli, och vilka vägar dess skapare kan välja för att få så bra spridning som möjligt. Slutligen vill vi använda vår insamlade kunskap i ämnet till att ge några enkla riktlinjer och tips på hur man kan undvika att drabbas. 1.2. Metod och källor Att skapa ett eget botnet var något vi först övervägde och konstaterade att det nog inte vore helt omöjligt med gör-det-själv -trojaner och diverse andra knep. Visst vore det intressant och lärorikt på många sätt men vi har ändå begränsat oss till att inte göra det på grund av sympati till våra medmänniskor samt pågrund av universitetets regler. För att sammanställa fakta i vår rapport skapade vi oss en baskunskap i ämnet med hjälp av boken Computer Networking - A top-down approach av James F. Kurose och Keith W. Ross. Därefter fortsatte vi jakten på fakta endast med hjälp av elektroniska källor. Detta för att vi anser att botnets är ett ämne som föråldras snabbare än böcker trycks.

5(14) 2. Vad är ett botnet och hur fungerar det? När man pratar om ett botnet menar man ett flertal datorer som blivit infekterade av en anfallare eller snarare tagits över via någon form av skadlig kod. Dessa datorer, även kallade zombies, ingår sedan i ett dolt nätverk där de kan kommunicera med varandra. Personen som fått datorerna att ingå i detta nätverk kan på detta vis sedan utföra t.ex. olika kriminella handlingar. Ett botnet används ofta för att tjäna pengar genom att hyras ut till andra. Den samlade datorkraften säljs t.ex. för att skicka spam-mail eller stjäla personuppgifter och kreditkortsinformation. För att hitta andra datorer som kan värvas till nätverket sprids samtidigt så kallat malware på internet. Malware innebär t.ex. virus, maskar, trojanska hästar och keyloggers. Hur man blir en del av ett botnet kan ske på en mängd olika sätt. Det vanligaste är att man klickar på en länk på en hemsida som är preparerad att infektera datorn. Ett annat sätt som kan göra att man blir en del av ett botnet är t.ex. om man laddar ner en fil innehållande ett virus, exempel på sådana filer kan vara bilagor till spam-mail. 1 2.1. Malware Det finns många olika sätt för de onda människorna att ta sig in i din dator. De vanligaste typerna av skadlig kod beskrivs i det här avsnittet. Virus Ett virus är ett litet datorprogram som sprids genom att göra en kopia av sig själv i ett värdprogram (vanligtvis i explorer.exe). Detta gör att viruset körs varje gång värdprogrammet körs. Viruset kan sedan spridas från dator till dator genom att t.ex. användaren skickar programmet över internet till någon annan eller via en CD-skiva, USB-enhet eller liknande. 2 Internetmask En internetmask sprider, till skillnad från ett virus, sig själv från dator till dator över internet 1 Daniel @ Teknikbrunnen, RUBotted skyddar dig mot botnät och trojaner 14/11-2010 2 Wikipedia Computer Virus 4/2-2011

6(14) utan att behöva hjälp från en användare. Detta gör att en mask ofta behöver någon form av säkerhetshål för att kunna sprida sig. Masken kopierar sig själv till mailadresser lagrade i datorn och sprider sig vidare på samma sätt. Trojansk häst Den trojanska hästen, även kallad trojan, är ett program som utger sig för att vara något det inte är och när användaren har lurats att ladda ner programmet sprids viruset. 3 Syftet med den här typen av virus kan vara att försöka komma åt hemlig information som olika typer av lösenord eller för att ta kontroll över din dator. 4 Keylogger En keylogger är en typ av programvara som kan registrera var man trycker på tangentbordet för att på så sätt ta reda på t.ex. lösenord som sedan skickas till förbestämd adress. Keyloggern läggs oftast in i ett annat program, när någon laddar ner programmet får personen även med en keylogger. Detta sker utan användaren av tangentbordets vetskap. Keylogging kan förutom detta mjukvarubaserade sätt även ske på andra vis, allt från hårdvaru- och mjukvaru-baserade tillvägagångssätt till elektromagnetiska och akustiska analyser. Det hårdvarubaserade tillvägagångssättet innebär att man placerar en "kontakt" i datorn som registrerar det som görs på datorn. Det elektromagnetiska tillvägagångssättet innebär att man läser av de elektromagnetiska signalerna från datorn och på så sätt ser vilka tangenter som trycks ner. De elektromagnetiska signalerna kan plockas upp på ett avstånd upp till 20 meter utan att på något sätt vara kopplad till datorn. De akustiska keyloggarna spelar in tangentryckningarna och därefter kan man mappa ljudet till rätt tangent. 5 3 Svenskadatorhälsan @ WindowsLive, Datorvirus 2/12-2010 4 Christian Rudolf @ mjukvara.se, Trojansk häst! Vad är en trojansk häst!, 23/4-2009 5 Wikipedia - Keystroke logging 10/2-11

7(14) 3. Typer av attacker En vanlig attack, som ska hindra normal användning av datasystemet, är Denial of Service (DoS) eller Distributed Denial of Service (DDoS). De här attackerna är egentligen samma sak men man brukar säga att om personen som utför attacken enbart har en värd är det en DoSattack. Om personen istället använder sig av många olika värdar (d.v.s. ett botnet) klassificeras attacken som en DDoS-attack. Dessa tar upp all tillgänglig bandbredd. En DDoS attack går ut på att en stor mängd anrop, med en förhållandevis liten mängd data, samtidigt skickas till ett datorsystem eller nätverk från flera olika datorer. Detta gör att det utsatta systemet blir överbelastat på grund av alla anropen. 6 3.1. SYN flood En typ av DDoS-attack är SYN flood. Normalt sett när en klient försöker starta en TCPanslutning till en server utbyter dessa en rad meddelanden. Det ser ut ungefär så här: 1. Klienten gör en förfrågan om att starta anslutningen genom att skicka ett SYN(synchronize) meddelande till servern. 2. Servern bekräftar detta genom att skicka SYN-ACK (acknowledge) tillbaka till klienten. 3. Klienten bekräftar detta genom att skicka tillbaka ett ACK-meddelande och därefter är anslutningen klar. Detta kallas för TCP three-way handshake. När en dator attackeras av SYN flood skickar anfallaren extremt många SYN-meddelanden samtidigt. Servern skickar som vanligt tillbaka SYN-ACK men får inget ACK tillbaka. Servern har då redan lagt undan plats för att kunna ta emot ett ACK-meddelande, som den alltså inte får, och tar därför upp minne i onödan. Detta tar upp bandbredd och gör att prestandan försämras. Om en annan användare sedan försöker koppla upp sig till SYN flood, bild1 6 Wikipedia Denial-of-service attack, 21/2-2011

8(14) servern går inte detta för att servern vägrar att öppna en anslutning eftersom att den fortfarande är upptagen med den förra processen. 7 8 Förutom DDoS-attacker finns många andra olagliga aktiviteter som botnets kan ägna sig åt. Här följer några exempel. 3.2. Spyware Spyware, eller egentligen spionprogram, installeras på datorn utan användarens vetskap och samlar därefter information från datorn. Detta kan såklart vara mer eller mindre allvarligt. Syftet med det är att t.ex. marknadsföra, samla in information eller att ändra en dators inställningar. Vissa spionprogram samlar information för att kunna välja vilken reklam som ska visas för användaren medan andra spionprogram samlar information som t.ex. lösenord och kreditkortsnummer. Ett spionprogram är ofta kopplat till ett program som samlar in känsliga uppgifter eller program som kallas adware. Adware är program som visar reklam på datorn. 9 3.3. Spam-mail Spam-mail är oönskade meddelanden skickade till din mail-adress. Dessa mail brukar innehålla olika erbjudanden mot en avgift eller länkar till sidor. Spam-mailen kan skickas ut av privatpersoner eller av företag som har köpt tillgången till ett botnet där miljontals klienter kan hjälpas åt att skicka ut spam. Orsaken till att man gör detta är för att om man skickar ut spamet till en miljon e-mailadresser så räcker det med att 30-40 personer svarar på detta, så tjänar spammaren mellan 30 000 och 40 000 kronor. Därför finns det numera en lagstiftning mot detta inom EU och i USA. 10 7 Wikipedia SYN flood, 22/2-2011 8 Okänd författare @ Internet Security Systems, SYN flood, 25/4-2003 9 Okänd författare @ Microsoft, Vad är spionprogram?, 23/10-2006 10 Okänd författare @ RFSL, En kort introduktion till SPAM, okänt publiceringsdatum

9(14) 4. Kända Runt om i världen finns det många människor som utvecklar smartare och effektivare skadlig programvara som de sedan använder för att skapa större botnets. Deras lösningar är ofta otroligt genomtänkta och infekterar hundratusentals datorer på bara några få dagar efter lanseringen. Problemet dessa elaksinnade människor stöter på är alla de personer som direkt kommer göra allt för att motverka spridningen av den skadliga koden. T.ex. så kommer alla antivirusföretag göra sitt yttersta för att så snabbt som möjligt kunna erbjuda sina kunder en uppdatering som klarar av att bli kvitt det nya hotet. Detta gör att omsättningen av botnets är hög. Ett exempel på det är den av Damballa nyligen publicerade listan över de tio mest fruktade botneten år 2010. 11 Granskar man den noggrannare ser man att bland dessa tio botnets så existerade bara fyra av dem år 2009 och endast ett av dem var på top 10 under 2009. Att tro att man kan behålla botnet-tronen en längre tid vore därför dumt, man är ändå bara en i raden av botnets som sprids över en natt för att sedan försvinna lika snabbt. Ändå finns det vissa botnets vars namn man inte glömmer riktigt lika snabbt och det beror oftast på att de lyckats åstadkomma något särskilt. Storm är ett sådant botnet. Det upptäcktes tidigt 2007 och spred sig snabbt via e-mail. Ämnena i dessa e-mail var finurliga och intresseväckande saker, alltifrån att Saddam fortfarande är vid liv till stormar som bryter ut i Europa. Därifrån kom också namnet storm. Storm hade sin topp runt september 2007 då det beräknades kontrollera ända upp till 50 miljoner botar. 12 Men sedan gick det utför för Storm, Microsoft uppdaterade sitt verktyg för att göra sig av med skadlig kod (MSRT) för att kunna hantera storm i slutet av september 2007. Storm sågs för sista gången i slutet av 2008, något mindre än två år efter starten. Ett annat botnet man sent kommer glömma är det lite speciella Conficker. Conficker började spridas i november 2008 genom att utnyttja ett säkerhetshål i Windows nätverkstjänst. Conficker spred sig väldigt effektivt och inom två månader var över femton miljoner datorer smittade. Vad som ansågs mycket märkligt var att Conficker hittills inte använts till någon form av kriminell verksamhet såsom spam-mail, insamling av information eller attacker. 11 Damballa, Top 10 Botnet Threat Report 2010, 02-2011 12 Kevin Spiess @ Neoseeker, Worm Storm gathers strength, 7/9-2007

10(14) Microsoft utlyste i februari 2008 en 250 000 dollars belöning till den som kunde ange vem eller vilka som låg bakom Conficker. 13 Tidigt i april samma år kom en uppdatering till alla Confickerbotar som var programmerad till självutplåning den tredje maj. Efter det har vi inte hört mer rörande Conficker-historien. Kanske blev upphovsmännen skrämda av Microsofts enorma belöning till dem som kunde ange skaparna. 5. Diskussion All fakta som vi samlat in kring hur botnets fungerar, hur de används och hur de sprider sig, har vi använt för att ge några förhoppningsvis hjälpfulla tips om hur man slipper all ondska som allt fler blir utsatta för i form av just botnets. När vi beskriver våra tankar kring hur man ska skydda sig mot botnets så delar vi in skyddet i två olika kategorier. Dels hur man skyddar sig från att bli en del av ett botnet men också hur man skyddar sig från diverse attacker från botnets såsom spam och DDoS-attacker. Så hur kan man undvika att bli en del av ett botnet? Det handlar till mycket stor del om sunt förnuft och att helt enkelt identifiera och undvika de vanligaste sätten som botnets sprids på. Det viktigaste tipset vi kan ge är att aldrig öppna e-mailbilagor eller klicka på skumma länkar såvida du inte är helt säker på vad det är för något. Att stanna på säkra webbsidor är också att rekommendera då så kallade underground -sidor ofta har popups och vilseledande reklamrutor. Dessa är ofta falska och när du följer deras uppmaningar så går du i fällan och din dator förvandlas till en zombie. En annan viktig skyddsåtgärd är att se till att ha en brandvägg utan onödigt många undantag. Ett misstag som alldeles för många begår är att ha en avstängd brandvägg, se därför till att din är igång. Detta minskar risken för oönskade inkommande anslutningar. Ett liveuppdaterande antivirusprogram är också något vi starkt vill uppmana till. En anledning till detta är det vi tidigare nämnt om att de stora antivirusbolagen arbetar snabbt med att ta fram lösningar på nyfunna säkerhetshot. Slutligen så är det viktigt att hålla Windows uppdaterat då det hela tiden släpps uppdateringar som täcker igen olika säkerhetshål som virusskaparna använder sig av. 13 Claudine Beaumont @ the Telegraph, Microsoft offers $250,000 bounty for Conficker creators, 13/2-2009

11(14) Men vad gör man om man misstänker att man redan är en del av ett botnet? Och hur kan man veta det? För några år sedan var det lättare att upptäcka då datorn ofta kändes mycket seg och internetanslutningen långsam. Men med dagens betydligt snabbare datorer och 100Mbit/s uppkopplingar är det svårare att upptäcka att din dator används av någon mer än dig. Ett tips från Lidija Davis 14 är att stänga webbläsaren, mailklienter och andra program som kan tänkas använda din internetanslutning och sedan öppna aktivitetshanteraren (ctrl-shift-esc). Där går man till nätverksfliken och kollar om internetanslutningen används. Om den används mer än någon enstaka procent så finns det risk för att din dator är smittad av någon form av skadlig programvara och kanske används i ett botnet för att till exempel skicka ut spam-mail i detta nu. Att bli av med den illasinnade programvaran kan ofta vara mycket svårt, om ditt virusskydd svikit dig och släppt in något så är chanserna att det ska få bort det inte alltid så stora. Men om det i alla fall kan tala om vad det är som gömmer sig i din dator så brukar en datorvan person kunna googla sig till en lösning för att rensa datorn. Observeras bör att detta inte på något sätt är hundraprocentigt, nya virus blir bara bättre och förökar sig ofta snabbt på din dator. Att få bort dem helt kan därför vara nästan omöjligt utan en fullständig formatering och ominstallation av operativsystemet. Detta är den enda säkra lösningen för att garanterat bli av med all skadlig programvara på din dator. Att skydda sig mot diverse attacker från botnets kan i vissa fall vara mycket svårt. Svårigheten att skydda sig mot attacker är en av anledningarna att de blivit så populära. Alla större mail-tjänster erbjuder spamfilter men i takt med att spam-mail skickas från fler och fler ip-adresser till färre offer åt gången gör det svårare för spamfiltren att upptäcka potentiella hot. Botnet-attacker i form av t.ex. DDoS attacker har våra internet leverantörer gjort stora framsteg för att skydda oss mot, bland annat genom routrar som dumpar trafiken när mycket data skickas mot samma server. Men om man verkligen vill skydda sig mot botnets så kan man tillämpa det gamla talesättet anfall är bästa försvar. För att bli av med ett botnet så finns det exempel på lyckad reverse engineering för att återskapa en bots källkod, och därmed förstå hur den tänker, och använda 14 Lidija Davis @ ReadWriteWeb, Is your pc part of a botnet?, 15/3-2009

12(14) det för att t.ex. angripa den styrande datorn i nätet. Några som lyckats med detta är Pedram Amini och Cody Pierce. 2008 gick de till motattack mot ett av världens dåvarande största botnets, Kraken. Tack vare att de kunde simulera ett infekterat operativsystem och på så sätt studera hur boten fungerade kunde de återskapa ip-listan som varje nyinfekterad bot försökte ansluta till för att nå den som skulle styra dem. Det visade sig att den riktiga kommandoservern hade en ip-adress som befann sig förhållandevis långt ned på denna lista. Det Cody och Pedram gjorde då var att registrera sig på första adressen i listan som botarna var programmerade att kontakta. Efter att ha knäckt den 32 bitar långa koden som boten förväntar sig från servern för att bekräfta att den är äkta så kunde de sätta upp sin egen låtsasserver. De körde servern i 7 dagar och fick över 25 000 unika anslutningar från infekterade maskiner. Vad kan man då ha för nytta av detta? Jo poängen är den att man i nyare skadlig programvara ofta lägger till funktionen att uppdatera. Cody och Pedram hade alltså möjligheten att uppdatera dessa tjugofemtusen datorer för att helt enkelt ta bort Krakenbotarna. På liknande sätt har flera stora botnets fallit men också blivit övertagna av andra illasinnade personer och på så sätt bytt ägare.

13(14) Referenslista Elektroniska referenser [1] http://www.teknikbrunnen.se/tag/botnet/ RUBotted skyddar dig mot botnät och trojaner, publicerad 14/11-10, hämtad, författare Daniel @ teknikbrunnen [2] http://en.wikipedia.org/wiki/computer_virus Computer Virus, senast ändrad 4/2-11, hämtad, författare Wikipedia [3] http://www.windowslive.se/svenskadatorhalsan/sdh-webb/datorvirus.html Datorvirus, senast ändrad 2/12-10, hämtad, författare okänd @ WindowsLive [4] http://www.mjukvara.se/blogg/trojansk-hast-vad-ar-en-trojansk-hast/ Trojansk häst! Vad är en trojansk häst!, publicerad 23/4-09, hämtad, författare Christian Rudolf @ mjukvara.se [5] http://en.wikipedia.org/wiki/keystroke_logging Keystroke Logging, senast ändrad 10/2-11, hämtad, författare Wikipedia [6] http://en.wikipedia.org/wiki/denial-of-service_attack Denial-of-service attack, senast ändrad 21/2-11, hämtad, författare Wikipedia [7] http://en.wikipedia.org/wiki/syn_flood SYN flood, senast ändrad, hämtad, författare Wikipedia [8] http://www.iss.net/security_center/advice/exploits/tcp/syn_flood/default.htm SYN flood, senast ändrad 25/4-03, hämtad, författare okänd @ Internet Security System [9] http://www.microsoft.com/sverige/protect/computer/basics/spyware.mspx Vad är spionprogram?, senast ändrad 23/10-06, hämtad författare okänd @ Microsoft [10] http://www.rfsl.se/?p=992 En kort introduktion till SPAM, okänt publiceringsdatum, hämtad, författare okänd @ RFSL [11] http://www.damballa.com/downloads/r_pubs/damballa_2010_top_10 Report.pdf Top 10 botnet threat report 2010, publicerad 02-11, hämtad, författare Damballa

14(14) [12] http://www.neoseeker.com/news/7103-worm-storm-gathers-strength/ Worm Storm gathers strength, senast ändrad 7/9-07, hämtad, författare Kevin Spiess @Neoseeker [13] http://www.telegraph.co.uk/technology/microsoft/4611944/microsoft-offers-250000-bountyfor-conficker-creators.html Microsoft offers $250,000 bounty for Conficker creators, senast ändrad 13/2-09, hämtad, författare Claudine Beaumont @ The Telegraph [14] http://www.readwriteweb.com/archives/is_your_pc_part_of_a_botnet.php Is your pc part of a botnet?, senast ändrad 15/3-09, hämtad, författare Lidija Davis @ ReadWriteWeb Bildreferenser [SYN flood, bild1] http://en.wikipedia.org/wiki/file:tcp_synflood.png TCP_synflood.png, okänt publiceringsdatum, hämtad, okänd skapare

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss