Botnets. T6 IKT-sikkerhed

Transkript

1 Botnets T6 IKT-sikkerhed Pelle Kristian Lauritsen ITU Efterår 2008

2 INDHOLD Indhold 1 Indledning Problemformulering Metode Afgrænsning Rapportens indhold Målgruppe Terminologi Botnets IRC Hvad er en bot Kontrol Inficering Fejl i software Spam / social engineering Bundlet Fjentlig overtagelse eller køb Netværksstørrelse Bekæmpelse Anvendelser 11 4 Konklusion 13 5 Litteratur 14 ii

3 1 Indledning 1 Indledning Det er generelt antaget at en af de største farer for Internettet idag er botnets, og at disse kan komme til at tælle op til en fjerdedel af alle computere tilknyttet Internettet [BBC]. Botnets er emnet for denne rapport indenfor IKT-sikkerhed. De tidligste botnets opstod for omkring 10 år siden og har udviklet sig lige siden. For omkring fem år siden begyndte udviklingen at tage fart. En bot er et lille program, gemt på en computer. Dette program er knyttet sammen med andre lignende programmer i et botnetværk, som er styret af et botherder, eller botmaster. Denne har muligheden for at bestemme hvad dette skjulte program skal gøre. Det kan bla. bruges til at udsende spam, udføre ddos-angreb, spionere på brugeren eller udbrede sig selv. Denne rapport vil forsøge at forklare hvad botnets er, hvordan de bliver udbredt og kontrolleret og hvad de bruges til. 1.1 Problemformulering At tilveje bringe et overblik over emnet botnets, med fokus på det tekniske aspekt, som hvordan de er opbygget, kommunikere mv. 1.2 Metode Emnet er undersøgt ved hjælp af dokumenter fundet på Internettet. Disse har været både avisartikler, videnskabelige artikler og almindelige sider på Internettet, dedikeret til sikkerhed generelt, eller botnets specifikt. 1.3 Afgrænsning Rapporten skal give et overblik over emnet - botnet. Rapporten vil ikke forsøge at være en udtømmende analyse af emnet. Ej heller en guide hvordan man oprette sit eget botnet, eller renser en inficeret computer. Til dette formål anbefales det at læse referencerne, søge på nettet, eller kontakte sin anti-virus software producent. 1.4 Rapportens indhold Resten af rapporten er struktureret som følger. Kapitel 2 giber baggrunden for botnets, og forsætter med en gennemgang af hvad botnets er, hvordan 1

4 1 Indledning de er opbygget, hvordan de bliver kontrolleret mv. I kapitel 3 gennemgås til hvilke formål botnets bruges. Tilsidst rundes af med en konklusion. 1.5 Målgruppe Målgruppen for denne rapport, er alle med en basis viden om computere og Internettet. Derudover kræves et kendskab til computersikkerhed og disse begreber, svarende til T6 IKT-sikkerheds kurset. 1.6 Terminologi Sproget er en blanding af dansk og engelsk, hvor danske udtryk bruges, hvor der er en etableret dansk definition af ordet/begrebet. Ellers bruges engelsk. 2

5 2 Botnets 2 Botnets Dette afsnit forklare hvad en bot og et botnet er. Der forklares hvordan botnet kontrolleres og spredes. Tilsidst gives forklares det kort hvordan man kan bekæmpe botnets. 2.1 IRC IRC står for Internet Relay Chat [IRC], og er defineret i RFC 1459 og række opfølgende dokumenter. IRC blev opfundet af finnen Jarkko Oikarinen i 1988, og består af en række forbundne serverer, forbundet i forskellige netværk. En bruger kan logge ind på netværket, ved hjælp af sin chatklient, og forbinde til en server i et valgt netværk. Derefter kan brugeren logge ind på en kanal (channel), og chatte 1 med andre personer på den samme kanal. Disse kan kanaler er ofte oprettet over et emne eller tema, så som et bestemt spil, en bestemt interresse, eller for folk med samme baggrund. F.eks har studerende på DIKU en kanal #diku på netværket freenode, hvor man kan bruge serveren chat.freenode.net til at logge ind på. Der gik dog hurtigt sport i at overtage andres kanaler, dvs. logge ind på en tom kanal og gøre sig selv til administrator, og efterfølgende forhindre at de orignale brugere i at logge ind eller smide dem af som de loggede på. I IRC bliver man administrator på en kanal hvis man er den der opretter den, er den sidste der er tilbage, eller den først der logger ind på en tom kanal. En administrator har forhøjede rettigheder, og kan feks. smide andre brugere af (kick) eller forhindre dem i at logge ind (ban). Dette ledte til udviklingen af en IRC bot [IRCbots]. En IRC bot, er et program, eller en samling scripts, som er logget på kanalen hele tiden, og kan udføre simple opgaver (så som at fortælle tid og dato). Oftest bliver de dog brugt til at holde kanalen åben, og forhindre andre i at overtage den (ved at den selv er administrator). IRC botten bliver da kontrolleret af den eller de brugere som har adgang til den maskine som IRC botten kører fra. Et eksempel på en bot fra IRC s barndom, og som stadig bliver brugt er botten Eggdrop [Eggdrop], som stammer fra Hvad er en bot En bot er et program, et stykke software, som kan fjernstyres, ved hjælp af en kommandoinfrastruktur (herefter kaldet C&C efter det engelske udtryk command and control). 1 IRC har flere funktionalitet end chat, feks. fildeling. 3

6 2 Botnets Der findes tusindevis af bots, men de stammer alle sammen fra 3-4 hovedvarianter, som beskrevet i [Barford, Bächer et al.]. Grunden til at findes så mange varianter af de sammen fire bots, udover ny version af softwaren, er at software ligger tilgængelig på Internettet, under GPL eller en lignende licens. Så alle og enhver kan downloade koden og modificere den, så den passer til det ønskede formål. I [Barford] analyserer forfatterne fire forskellige hovedvarianter, AgoBot, SDBot, SpyBot og GT Bot. Selv om de forskellige bots er kodet forskelligt, er den generelle opbygning identisk. Alle botsne er skrevet i C eller C++. Dette giver programmøren mange fordele, når der er tale om ondsindede programmer, frem for højere niveau sprog, som Java eller C#. Mulighed for at fjene overflødige dele af den eksekverbare fil, for at få mindre filstørrelse. Mulighed for at skrive på meget lavere niveau end Java eller C# tillader, og som er nødvendig for at at programmet skal kunne skjule sig. Programmet er self-contained, dvs. har ikke brug for nogle eksterne filer eller biblioteker, da programmøren kan compile alt ind i den samme fil. Men behøver ikke bruge et runtime-miljø, som er påkrævet af Java og C#. Botsne er generelt opbygget modulært, hvilket gør det let at ændre deres opførsel og tilføje nye egenskaber. Nogle af hovedvarianterne er opbygget så alle modulerne er en del af selve botten, hvor andre er opbygget så programmøren selv skal finde modulerne og tilføje dem. Kontrol af botten Kommandoer der bruges til at kontrollere botten og dens ondsinde virke. Kan være kommandoer til udsendelse af spam eller at gå i gang med et ddos angreb på en given host. Kontrol af den inficerede maskine Kommandoer der kan eksekveres på den inficerede maskine. Dette kan feks. være at tilføje et program til Services, eller indsamle adresser. Spredning Kommandoer til at søge efter nye computere der kan inficeres, for derefter at prøve at inficere disse. Beskyttelse Kommandoer der bla. beskytter botten efter den er blevet installeret. Det kan være rootkits, der skjuler den fra styresystemet, brugeren eller andre programmer, eller tester for debuggere. Ofte, hvis botten ikke mener der er tilstrækeligt sikker på den inficerede host, vil den afinstallere sig selv, istedet for at kompromitere netværket. 4

7 2 Botnets Maskering Kommandoer der kan ændre/kryptere de pakker der bliver sendt, for at skjule indholdet for sniffere og filtre. En tidlig forløber for de nuværende bots, er ormen PrettyPark [Canavan] fra PrettyPark indeholdt nogle af den funktionalitet, som man kender fra senere bots. Bla. høstede den information fra de computere den inficerede, som den sendte til en IRC kanal, samt det var muligt at opdaterer den. Men det var først med varianter af GT Bot i år 2000, og senere i 2002 og 2003 med AgoBot, SDBot og SpyBot at de botnets vi kender idag blev udviklet. Et botnet opstår, når disse bots sætter sig i forbindelse med hinanden eller med C&C server. Figur 1 viser et skematisk oversigt af et botnet. Denne figur er taget fra [Wang et al.]. Figur 1: Botnet 2.3 Kontrol Det der adskiller botnets fra en orm, er at de kan kontrolleres efter programmet har inficeret en computer. I det følgende bliver præsenteret en række metoder for kontrol. 5

8 2 Botnets IRC Historisk set, og den mest almindelige kontrolmetode, har botnet været kontrolleret fra IRC kanaler [Ianelli, Barford, Bächer et al., Cooke et al.]. Dette gøres ved at botten, så snart den har inficeret en computer forbinder til en IRC-kanal på en IRC-server. Disse er hard-coded ind i bot-softwaren, og består ofte af en primær kanal og en række backup kanaler, i tilfælde af at den primære skulle være blevet lukket. Botten kan kan så senere opdatere sin liste. Disse IRC-servere kan være offentligt tilgængelige systemer, eller være private. Nogle botnet ejere har opsat deres egne servere, med modificeret IRC software, som er inkompatibelt med almindelige IRC klienter. Botsne bliver instrueret via beskeder på kanalen, de kan enten være specifikt til en enkelt bot, eller til alle botsne på kanalen. Resultat af den udførte kommando skrives så tilbage til kanalen. Denne løsning er meget simpel, men tilgengæld også meget let at afbryde. Hvis de angivne kanaler og servere kan lukkes, vil det ikke længere være muligt at kommunikere med botnetværket. HTTP En anden metode til at styre et botnetværk, er via HTTP. Ved denne fremgangsmåde forbinder botten til en webserver, med det nødvendige information encoded i URI en. Det svar den får tilbage, vil botten kunne parse, til en ordre. En mere sofistikeret måde, er at botten foretager en søgning på Google, eller en anden stor søgemaskine, med en prædefineret tekststreng [Vogt et al.]. Botten parser da resultatet af søgningen, for at se om der er ordre fra dens botherder. p2p Ved denne metode forbinder botten til et p2p netværk, ved hjælp af nogle predefinerede bootstrap hosts. Nå botten er forbundet, søger den efter nogle predefinerede strenge, som vil indeholde ordre. Fordelen ved at bruge p2p-netværk, er at der ikke er nogen central server. Ligeså snart botten er tilknyttet netværket, er den selv med til at vedligeholde kommandostrukturen. For botmasteren er det også mere sikkert, da det umiddelbart er svært at se hvor botsne får deres kommandoer fra. Det tidligere botnetværk Storm brugte det nu delvist forladte p2p-netværk 6

9 2 Botnets Overnet [Overnet] til at kommunikere over. Netværket var officielt lukket ned i år 2006, men da der ikke er nogen central server, kan det ikke lukkes helt ned uden at afbryde alle computerer der er tilknyttet. Forskere har prøvet at finde de nøgler, som botsne søgte efter for at få kommandoer[holz et al.]. Hvis man finder disse nøgler, kan man prøve at publicere en masse identiske nøgler, og derved netværket. Dette vil gøre det sværere for botsne at lokalisere deres ordre. 2.4 Inficering Der er flere forskellige måde at bliver inficeret med bot-software på. Denne sektion beskriver en række måder, hvorpå dette kan ske Fejl i software De fleste botnetværk spredes, ved hjælp af de samme metoder som en orm. De vil sige, de skanner mere mindre tilfældigt udvalgte ip-adresser, og tester dem for kendte sårbarheder og fejl i softwaren. Dette gøres ofte enten såkaldt vertikalt eller horisontalt. Vertikalt betyder at botten skanner for alle de sårbarheder den kender, for hver ip-nummer. Hvor imod horisontalt betyder, at botten kun skanner hvert ip-nummer for en sårbarhed. Eksempler på fejl i software, vises i [Ianelli], og er gengivet herunder. VU#568148: Microsoft Windows RPC vulnerable to buffer overflow VU#753212: Microsoft LSA Service contains buffer overflow in DsRolepInitializeLog() function VU#117394: Buffer Overflow in Core Microsoft Windows DLL Disse VU-numre kan slås op på US-CERTs hjemmeside [CERT117394], og man kan får en beskrivelse af fejlen. Hvis man for eksempel slår VU# op, vil man se at det er en fejl i et Win32 API bibliotek, som kan gain complete control of thet system and execute arbitrary code in the Local System security context. I disse tilfælde er de viste eksempler buffer overflows i styresystemet, men kunne lige så godt være bagdøre efterladt af orme, f.eks MyDoom, eller fejl i tredje parts software [Ianelli, Bächer et al., Cooke et al.]. At disse tre sårbarheder alle er fra Microsoft Windows skyldes ikke kun Windows dårlige sikkerhedsniveau, men også at Windows er det mest udbredte styresystem. Derfor, hvis man udnytter en sårbarhed i Windows, vil der være større chance for success, set fra bottens vinkel. 7

10 2 Botnets Hvis inficering finder sted ved denne metode, kan botten enten overføres fra den bot som inficerer, eller den over fører en slags bootloader, som kun indeholder det allermest nødvendige. Derefter forbinder den til en server, for at hente selve bot softwaren, enten over HTTP eller FTP. Efter en succesfuld inficering, vil botten typist prøve at fixe de sikkerhedshuller den kender til, for at forhindre at andre botnetværk også inficere den samme computer Spam / social engineering I dette tilfælde, vil man prøve at få brugeren til at installere botten. Dette kan enten ske ved at sende en vedhæftet fil, eller et link, for så at bilde modtageren ind at det er et legitimt program de prøver at downloade og/eller installere. Linket kan spredes enten via spam, eller via en hjemmeside, som udgiver sig for at være noget andet. I [Grizzard et al.] beskriver de, hvordan en bot var maskeret som en videofil kaldet FullVideo.exe, som blev sendt som en attachment til en spammail, hvor teksten i mailen opfordrede folk til at se videoen. Derved blev deres computer inficeret Bundlet Her er bot softwaren bundlet sammen med et andet program, som brugeren har valgt at installere. Eksempler på denne type software, er IM plugins, browser plugins og fildelingsprogrammer, som enten er skrevet for kun at sprede botten, eller har bundlet botten mod betaling Fjentlig overtagelse eller køb En botmaster kan vælge at sælge (dele af) sit netværk til andre, som ønsker et netværk, eller en anden botmaster kan forsøge at overtage netværket. Hvis det lykkes denne at udsende en opdatering til netværket. Denne kan feks. indeholde en opdatering, der fortæller botnetværket at de skal bruge en ny C&C server, som er kontrolleret af den nye botmaster. 2.5 Netværksstørrelse Tidligere (omkring 2003), var det det vigtigste botnet ejerne at deres netværk var så store som muligt, da dette gav det størst potentiale. [CA ] 8

11 2 Botnets rapporterer om botnets på over computere, [McLaughlin] citerer Symantec for at have identificeret et botnet på og i [Storm] påstås det at Storm botnettet har være på minimum , til over 1 million inficerede computere. Det er det dog ikke længere vigtigst at være stor. Store botnets tiltrækker sig en masse opmærksomhed, og det vil man som botnet ejer gerne undgå. Den der lever skjult lever godt. Desuden har man ikke længere behov for så store botnets, da mange inficerede maskiner er hjemmecomputere, og deres båndbredde hele tiden stiger. I [Vogt et al.] teoretiseres over, om fremtiden kan være botnets på max et par tusinde bots. Botnet ejeren kontrollere så en masse botnets, hvor disse kan samarbejde hvis det ønskes, dog uden at kende til hinanden. På den måde vil tabet af et botnet kun være et mindre problem, og ikke sætte resten af botnetsne ud af funktion. 2.6 Bekæmpelse Botnet, som så mange andre problemer af denne type, kan bekæmpes på to måder. Ved præventive løsninger, som oftest skal udføres af computeren ejer/administrator, og forsvars løsninger, som kun kan udføres af forskere, netværksadministratorer eller myndighederne. Præventive løsninger De præventive løsninger er vigtige, da kan forhindre at en computer bliver inficeret til at starte med. I [Kim-Kwang] påstås at en computer der er forbundet direkte til Internettet, har 50% risiko for at blive inficeret (af et botnetværk), inden for 30 minutter. Præventive løsninger indebærer er ting som hyppig opdatering af software, brug af en firewall, brug af opdateret antivirus og uddannelse af brugere til ikke at installere software som de ikke kender. Forsvars løsninger Forsvars løsninger kræver noget mere arbejde, og kan først sættes ind, når en eller flere computere er blevet inficeret. Lokalt på computeren kan man prøve at fjerne botsoftware, med forskellige værktøjer. Hvis dette ikke er muligt, bliver man i sidste ende nød til at geninstallere styresystemet. 9

12 2 Botnets Hvis computeren sidder på et lokalnetværk, kan netværksadministratoren opsætte et filter, som kan prøve at fjerne C&C pakkerne, så botsne på lokalnetværket ikke modtager nogle ordre. Hvis botsne bliver kontrolleret fra IRC-kanaler på offentlige servere, kan man prøve at få administratorene af disse til at lukke kanalerne. Hvis botnetværket kontrolleres fra andre typer servere kan man prøve at få lukket disse. Derudover kan man prøve at indvolvere myndighederne, så de kan arrestere bagmændende. Dette bliver dog ofte besværlig gjort af, at bagmændende og og disses maskiner kan være placeret hvor som helt. 10

13 3 Anvendelser 3 Anvendelser Botnets har mange anvendelser og [Ianelli, Bächer et al.] lister hver mange anvendelser. Dette viser at ondsindede hackere ikke længere kun bruger der evner til at blære sig med, men ved at leje disse botnetværk ud, kan der tjenes rigtigt mange penge. ddos-angreb Botnets er oplagte til at udføre ddos-angreb (distibuted denial of service). Ideen er at sende så mange SYN- eller ICMP-pakker, at modtageren ikke kan lave andet end at svare på disse beskeder, istedet for legitime beskeder. Hvis modtageren modtager tilpas mange, vil det overbebyrde hans servere og disse vil gå ned. Det vil for omverdenen se ud som om den pågældende server ikke svare. Denne slags angreb kan have to formål. Enten at afkræve løsepenge fra det pågældende site, hvis ddos-angrebet skal ophæves, eller som et (politisk)chikane middel mod websites der er lagt for had af en gruppe. Det sidste blev observeret i maj 2007, hvor store websites i Estland var under ddos-angreb en hel måned, efter at den estiske regering havde valgt et fjerne en sovjetisk statue, til minde om faldne sovjetiske soldater [InformationWeek]. Det er også blevet spekuleret i, om et koordineret angreb mod rod DNS serverne på Internettet kunne sætte hele Internettet ud af funktion. Da botnetttet der udfører angrebet kan være spredt ud over hele Internettet, er det i praksis meget svært at forsvare sig imod sådan et angreb. Spam Udsendelse af spam, eller uønsket s, er også oplagt for botnets. Ved at få hver bot til at afsende spammails, kan man både få afsendt dem hurtigere, og gøre det svært for mailservere at afvise mailen, da mailsne ikke bliver afsendt fra kendte åbne relays, men fra ukendte computere i et botnetværk. I 2006 var det antaget at 70% af al spam ang. aktier, var udsendt fra botnetværk [Kim-Kwang]. Click fraud Et botnet kan sætte til at klikke på reklamer. Det vil sige, at URI som en reklame peger på aflures, for der efter at overgives til botnetværket. De vil så loade den angiv URI, hvilket vil se ud som om at nogen havde klikket 11

14 3 Anvendelser på reklamen. Dette kan enten bruges til at tjene penge til den som viser reklamen, men kan i endnu højere grad bruges til at fjerne reklamer fra at blive vist. Da de fleste annocører har et begrænset budget, ønsker de kun et begrænset antal visninger inden for en tidsperiode. Hvis et botnet, som er spredt ud på maskiner i hele verden, begynder at klikke på reklamer, kan de hurtigt fjerne disse reklamer fra rotationen, uden at det umiddelbart kan bevises at det var snyd. Men annoncøren har ikke fået noget for sine penge, da ingen har set reklamerne og desuden vil konkurrenten nu få bedre mulighed for at kommet igennem med sit budskab. At dette er et reelt problem, kan ses af at Google tilbage betalte USD 90 millioner til sure annoncører, i juli 2006 [Kim-Kwang]. Sniffing Botten kan sættes til at overvåge det netværkssegment som den inficerede computer sidder på, og sende relevante data tilbage. Spyware Botten opfører sig som spyware, det vil sige indsamler personlige oplysninger om brugern af computeren. Det kan være password og kreditkort oplysninger. Lagring Botnettet bruges som et p2p-netværk, som der efterfølgende bruges til at gemme filer på. Disse vil ofte være af ulovlig natur, såsom warez (ulovligt kopieret software) eller børneporno. Der sælges så adgang til dette netværk. Proxies Botten kan blive brugt som proxy, dvs. andre kan forbinde til den, og botten vil så sende deres kommandoer videre, mens det vil se ud som om det er computeren med botten installeret der udfører kommandoen. 12

15 4 Konklusion 4 Konklusion Denne rapport har gennemgået emnet botnet. Og selv om en bot, i sig selv, umiddelbart kan lyde ganske uskyldig og ikke umiddelbart skader den computer den har inficeret, er de det bestemt ikke, når deres antal tælles i tusinder og de pludselig udgør en trussel mod Internettet. Dette kan verificeres hver dag ved at kigge på mængden af spam der bliver udsendt fra botnets, eller se på resultatet af ddos-angreb. I dagens version2 [Version2], spekuleres over mulighed for at spam via botnet bliver endnu større, efter en meget stor spammer er blevet lukket ned i Californien. Så umiddelbart ser det ikke ud til at botnet ejerne, eller programmørene, bliver arbejdsløse. 13

16 LITTERATUR 5 Litteratur Litteratur [BBC] Criminals may overwhelm the web Tilgået [Ianelli] Botnets as a Vehicle for Online Crime Nicholas Ianelli and Aaron Hackworth, The International Journal of FORENSIC COMPUTER SCIENCE IJoFCS (2007) 1, [CERT117394] Vulnerability Note VU# Buffer Overflow in Core Microsoft Windows DLL Tilgået [Barford] An Inside Look at Botnets Barford, Paul; Yegneswaran, Vinod, Special Workshop on Malware Detection, Advances in Information Security, Springer Verlag, 2006 [IRC] Internet Relay Chat Tilgået [IRCbots] Internet Relay Chat bot Tilgået [Grizzard et al.] Peer-to-Peer Botnets: Overview and Case Study Grizzard et al., HotBots 07: First Workshop on Hot Topics in Understanding Botnets [Wang et al.] An Advanced Hybrid Peer-to-Peer Botnet Wang et al., HotBots 07: First Workshop on Hot Topics in Understanding Botnets [Bächer et al.] Know your Enemy: Tracking Botnets - Using honeynets to learn more about Bots Bächer et al., [Cooke et al.] The Zombie Roundup: Understanding, Detecting, and Disrupting Botnets Cooke et al., SRUTI 05: Steps to Reducing Unwanted Traffic on the Internet Workshop, pp [Eggdrop] Eggheads.org - Eggdrop development Tilgået

17 LITTERATUR [Kim-Kwang] Zombies and botnets Raymond Choo Kim-Kwang, Australian Institute of Criminology, March 2007 [Storm] Storm botnet Tilgået [Overnet] Overnet Tilgået [Holz et al.] Measurements and Mitigation of Peer-to-Peer-based Botnets:A Case Study on StormWorm Holz et al., [CA ] CERT Advisory CA Increased Activity Targeting Windows Shares Tilgået [McLaughlin] Bot Software Spreads, Causes New Worries Laurianne McLaughlin, IEEE DISTRIBUTED SYSTEMS ONLINE , Vol. 5, No. 6; June 2004 [Vogt et al.] Army of Botnets Vogt et al., Proceedings of the 2007 Network and Distributed System Security Symposium, pp [Canavan] The Evolution of Malicious IRC Bots John Canavan, Proceedings of the VB2005 Conference. [InformationWeek] Bots Hammer Estonia In Cyber Vendetta Tilgået [Version2] Lukning af spam-webhosting kan udløse ny botnet-bølge Tilgået