domenica 17 novembre 2013

Cosa Sono e Come Funzionano Le Botnet

Una Botnet è una rete formata da dispositivi informatici collegati ad Internet e infettati da malware, controllata da un'unica entità, il botmaster.
A causa di falle nella sicurezza, i dispositivi vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto.
Quindi ogni giorno milioni di computer zombie abbattono siti, rubano password, prosciugano conti bancari.


FUNZIONAMENTO
I malware creati per far parte di una botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato.
Per fare ciò spesso sfruttano i canali IRC e si connettono ad un dato canale, situato su un server, il quale spesso è protetto da una password per dare accesso esclusivo all'autore.
Tramite questo canale il Botmaster è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi.
Per fare un esempio, con un solo comando potrebbe far partire un attacco DDoS verso un sistema a sua scelta.
Il protocollo IRC è ottimo per gestire una botnet, perché è malleabile ed anche semplice da utilizzare. Chiunque con basilari conoscenze di programmazione può modificarlo per le proprie esigenze.
In fondo è come un laboratorio.
Si fanno delle sperimentazioni, dei test, magari colpendo siti in giro anche per pochi minuti in modo da non dare troppo nell’occhio e si modificano i pacchetti di dati lanciati nell’attacco per renderli più efficaci a seconda delle situazioni.
Ogni attacco DDoS è programmabile nei dettagli: si può decidere che tipo di pacchetti inviare, a che ora, per quanto tempo, e soprattutto si può dare l’impressione che l’offensiva arrivi da uno specifico indirizzo IP, anche se non è vero.
La dissimulazione è un’arte necessaria alla sopravvivenza delle botnet.


UTILIZZI
Principalmente esse vengono usate per fare attacchi informatici di tipo DDoS (acronimo di Distributed Denial Of Service).
Cioè per abbattere siti web e server.
Ma esistono anche reti di centinaia di migliaia di zombie, in genere gestite da vere organizzazioni criminali che ci lucrano sopra: si possono infatti rubare credenziali di accesso e password a servizi web e bancari, frodare i meccanismi pubblicitari online basati sul sistema pay-per-click, ordinando ai bot di cliccare in massa su specifici banner, inviare email di spam o di phishing, etc
Come detto le botnet vengono spesso utilizzate anche per altri scopi oltre al DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor(Trojan) oppure servizi proxy che garantiscono l'anonimato in rete.
Esse possono colpire anche i router, i modem ed apparecchi simili.
Tutto parte dal comune access point wireless che le persone tirano fuori dalla scatola e attaccano alla linea così com’è, senza cambiare i parametri di default.
I numeri rappresentano gli indirizzi IP dei dispositivi nel mirino.
In pratica questa è una prima scrematura per vedere chi può essere davvero violato dalla botnet.
A quel punto, attraverso una delle porte socchiuse dei dispositivi target, i bot provano a scaricare dei file eseguibili.
Se ci riescono, l’apparecchio viene contagiato e si trasforma in uno zombie al servizio del Botmaster.
Stiamo parlando di router, access point, telefoni, decoder satellitari, cellulari: tutti potenziali prede di questo tipo di botnet.
E una volta infettati sono in grado di diffondere il worm ad altri "soggetti" sani.
Tutti i sistemi contaminati si trasformano in ircbot, ovvero in programmi interattivi che si collegano alla chat sul canale IRC prestabilito, aspettando dei comandi.
Per esempio si può ordinare loro di fare una scansione di indirizzi IP sulle reti vicine.
Infine un altro uso delle botnet è quello di usarlo come proxy verso un sistema compromesso.
Una tecnica usata recentemente è quella del fastflux in cui una macchina fuori dalla botnet fa girare un finto server e le macchine della botnet fungono da proxy verso questa macchina.
Un kit per costruirsene una va da poche centinaia di euro a qualche migliaio, a seconda delle funzionalità presenti o se è già parzialmente installata.
Oppure possono anche essere noleggiate per un breve periodo.


BOTNET CELEBRI
Le botnet più celebri sono arrivate a includere milioni di zombie sparsi in tutto il globo.
Nomi come Storm o Mariposa hanno seminato il panico ed imperversato per anni.
Quest’ultima era stata messa in piedi da tre spagnoli, contava su oltre 12 milioni di computer ed era in grado di mettere in ginocchio un intero Stato, se i suoi botmaster lo avessero voluto.
I tre, però, sono stati arrestati nel 2010, non prima di aver lanciato un gigantesco e disperato attacco DDoS contro gli investigatori che stavano loro con il fiato sul collo.
Una lotta furibonda che ha mandato in tilt anche un Internet service provider finito in mezzo e nel corso della quale i criminali avrebbero accidentalmente fatto trapelare i loro veri indirizzi IP.
E quindi le loro identità.
Per maggiori informazioni: Chiuse Kneber e Mariposa
Microsoft e l’azienda di antivirus Symantec recentemente ne hanno fatta fuori una.
Si chiamava Bamital, controllava 7 milioni di PC ed era usata tra le altre cose per infettare i computer degli utenti con spyware e per frodare le pubblicità online.
Hydra invece era un malware specifico per router avvistato per la prima volta nel 2008.
Diversi esperti lo hanno ricondotto a una mano italiana.
Uno dei suoi discendenti è stato individuato non molto tempo dopo da ricercatori della Repubblica Ceca che hanno localizzato il centro di comando nel nostro paese.
Anche perché, all’interno del codice, compariva ripetutamente la frase in italiano “in nome di Chuck Norris”.
Il centro di controllo della rete malevola è stato chiuso ma molti cloni sono sbucati in giro per il mondo. Il malware dedicato all’attore americano è specializzato nell’infezione di modem dsl e router.
Si tratta di una specificità che rende la botnet ancora più invisibile e difficile da tracciare, perché quei dispositivi infettati sono privi di antivirus.


INDIVIDUARE UNA BOTNET
Ma come si fa a individuare e soprattutto a spegnere una Botnet?
Prima si compie un’analisi del malware e attraverso un’attività di ingegneria inversa si cerca di capire con chi parla e come cifra il traffico.
Quindi si costruisce un programma che sia in grado di comunicare con il centro di controllo della stessa.
Insomma, si cerca di infiltrarla con un software che finge di essere un bot come gli altri e che invece passa di soppiatto informazioni agli investigatori.
Ricavati i dati necessari si può tentare un takeover.
Un vero e proprio scippo della rete di bot, che avviene coinvolgendo gli Internet service provider o la polizia postale.
In gergo si chiama sinkholing: cioè si inghiotte il traffico che dagli zombie va verso il server di comando controllato, reindirizzandolo verso un server sicuro che sta sotto il controllo.
Detta così sembra semplice e i botmaster senza scampo.
In realtà, si tratta di un mondo in continua evoluzione e in cui le guardie e i ladri cambiano continuamente tattica.
Oggi i server di comando non si basano più su un solo indirizzo IP, facile da spegnere, ma ne sfruttano diversi, e sono molto più resistenti.
Poi ci sono quelli che si nascondono nella rete TOR, e che pertanto sono difficili da tracciare.
Infine, l’ultima tendenza è di far migrare l’infrastruttura dei bot su un modello di rete peer-to-peer: ciò significa che gli ordini non partono più da un server di comando, ma da uno dei tanti client connessi, che li passerà ai nodi vicini, i quali propagheranno a loro volta le istruzioni.
Le botnet basate su Zeus, un trojan usato per sottrarre dati bancari, sono passate a una versione peer-to-peer da poco tempo, per esempio.
Individuare la testa di queste reti, in una simile modalità, è molto più arduo.
Un vettore di infezione comune è il portatile esterno o la chiavetta usb su cui sia presente il malware. Ma in molti casi si tratta di attacchi che sfruttano vulnerabilità dei browser o di altri programmi dei PC. A volte basta che la vittima visiti anche solo un sito normale ma che è stato compromesso e che viene utilizzato come veicolo inconsapevole.


Altri articoli:
Chiusa La Botnet Ramnit
Botnet Tdl4: Il Virus Indistruttibile
Malware Blackhole (Botnet Exploit)
Botnet Anche Su Android

Nessun commento:

Posta un commento