Zákeřní boti v akci

Bratři Čapkové nadělili světu slovo robot. Bylo odvozeno od slova robota, které označuje nucenou práci. V následujíc...


Bratři Čapkové nadělili světu slovo robot. Bylo odvozeno od slova robota, které
označuje nucenou práci. V následujícím textu se zaměříme na zajímavý vývoj v
oblasti botů nového druhu malwaru. Jeho jméno je odvozeno právě od slova robot
a je ho možno využívat pro různé další "práce".
V praxi se téměř každý uživatel počítače setkal s fenoménem zvaným počítačový
virus. Někteří dokonce pamatují doby, kdy nejrychlejším infekčním vektorem
(prostředkem šíření) byla BBS se třemi modemy o rychlosti 2 400 baudů a virus o
velikosti 8 KB byl považován za ohromný. Tehdejší viry mazaly disky a jako
infekční vektor používaly téměř výhradně soubory, popřípadě boot sektory
výměnných médií.
V osmdesátých letech Robert T. Morris stvořil červa, který se šířil s pomocí
chyby v daemonu fingerd a používal několik dalších vektorů. Výsledkem byl
nebývale účinný DDoS útok na americké sítě. Před deseti lety vznikl první spam
nevyžádaná komerční nabídka zaslaná e-mailem velkému počtu adresátů.
Vzhledem k tomu, že každé odvětví lidské činnosti se vyvíjí, došlo i ve třech
výše zmíněných oblastech k dosti podstatnému vývoji. Nejprve došlo ke spojení
virů a červů. Jinak řečeno, tvůrci virů přejali techniky šíření červů. Postupem
času si ovšem někteří tvůrci uvědomili, že není třeba počítač oběti zničit,
mohl by se totiž hodit došlo k vypuštěním destruktivní části viru a vložení
kontrolního modulu. Zrodil se bot. (Termín bot se používá i v dalších IT
oblastech například pro počítačem řízeného protivníka v herním průmyslu nebo
pro inteligentního agenta v e-businessu.) Přibližně do této doby spadá vznik
termínu malware, který vznikl zkrácením termínu malicious software. Malware je
trocha marketingu antivirových výrobců, ale hlavně zdravý rozum, který říká, že
virus hubí svého hostitele, což se o nejnovějších výtvorech z této oblasti
rozhodně říci nedá.

Infekční vektory
V současné době jsou rozhodně hitem chyby v softwaru a nedostatek inteligence
uživatelů. Dosti se začíná rozmáhat využívání kontrolních kanálů jiných botů.
Již proběhlo i několik bitek, ve kterých se bot pokusí převzít kontrolu nad
strojem, který je již ovládán jiným druhem malwaru, což mělo za následek
uvolnění nové varianty původního bota, který se pokusil převzít zpět, co mu
bylo odebráno a situace se opakovala.
Jak je vidět z vývoje malwaru, není třeba být na technické špičce a psát
sofistikované moduly, které botům umožní využít k šíření poslední známé chyby.
Bohatě stačí, pokud tvůrce použije chyby, které jsou známé v některých
případech i řadu let. Dokonce ani není třeba využívat chyb v softwaru, stačí
využít chyb uživatelů.
Připomeňme krátce některé chyby, které jsou dnes velmi populární:
RPC DCOM BO Službu RPC (Remote Procedure Call) používá systém Windows pro
odstínění programátora od síťové vrstvy. Tuto službu využívá i DCOM
(Distributed Component Object Model). Chyba v implementaci tohoto modelu
umožňuje spustit libovolný kód například instalaci potřebných komponent bota.
Tato chyba je opravena patchem KB823980, který je k dispozici od 16. července
loňského roku. I přesto je chyba jako infekční vektor pro malware používána
dodnes. Pravděpodobně nejznámějším reprezentantem využívajícím tuto chybu je
červ W32.Blaster.
Windows Workstation Service BO služba Workstation je základním kamenem
fungování desktopu na operačních systémech Windows NT a odvozených. Situace je
stejná jako v předchozím případě patch je znám 6. července 2003 a dodnes se
vyplatí tuto cestu používat.
LSASS BO Local Security Authority Subsystem Service je služba, která poskytuje
systému Windows různé služby související s přihlašováním uživatelů lokálně i do
domény, s komunikací s Active Directory i s dalšími důležitými službami. Tato
chyba je známa od 13. března 2004 a dokazuje, že tvůrci botů jsou schopni velmi
rychle reagovat.
Ve všech případech se jedná o chyby klíčových komponent operačního systému
Windows, pro které byl k dispozici patch již před tím, než se objevil první
malware využívající danou chybu.

Neznalost uživatelů
Někteří boti používají k šíření hlavně extrémní naivitu a neznalost prostředí,
kterou prokazují dnešní uživatelé internetu. IRC, e-mail, ICQ, P2P to všechno
jsou velmi populární služby, nicméně uživatelé zde naprosto nedbají základních
zásad bezpečného chování. Stáhnou a spustí cokoliv, otevírají jeden e-mail za
druhým, používají nezáplatovaný software a podobně.
Dá se to přirovnat k tomu, že se v parku u Hlavního nádraží v Praze budeme o
půl třetí ráno snažit rozměnit tisícikorunu v blahé naději, že nám se přece
nemůže nic stát jenom rozměníme a hned zase půjdeme. Dokud bude takovéto
chování na veřejných sítích standardem, situace se pravděpodobně nezlepší.
Třetí skupinou vstupních vektorů jsou existující boti například varianty
Gaobota vesměs umějí proniknout do počítače přes zadní vrátka (backdoor)
instalované různými variantami malwaru Beagle, MyDoom a Optix.

Boj o moc
Teď se ovšem dostáváme k mnohem zajímavější části: Podařilo se infikovat
počítač je na něm bot. Co dál? V současné době je jasné, že nemá cenu bezhlavě
ničit to, co bylo právě dobyto. Dnešní počítač běžného uživatele je relativně
výkonná bedýnka, která umožňuje spoustu věcí. Vyplatí se tedy jej použít k
něčemu smysluplnějšímu, než je přinucení uživatele začít hledat instalační CD
od operačního systému.
Většina dnešních botů se ovládá přes IRC bot se po úspěšném proniknutí na
cílový počítač připojí na předem dohodnutý IRC kanál, ohlásí se a čeká na
příkazy svého pána. Někteří boti otevírají i shell na různých portech,
popřípadě se mohou okamžitě věnovat předdefinované činnosti, nicméně na další
příkazy reagují a jsou velmi flexibilní.
Dalším problémem, kterému bot čelí, je vzdálená možnost, že uživatel provede
například update antiviru nebo se pokusí nainstalovat patche. Většina botů to
řeší velmi jednoduchým trikem: na většině systémů existuje soubor, který je
ekvivalentem unixového souboru /etc/hosts. Do tohoto souboru se jednoduše vloží
jména všeobecně známých serverů, které poskytují patche a updaty, a přiřadí se
jim lokální adresa z rozsahu 127/8. Pokus o update tedy zkrachuje a vůbec
neopustí uživatelův počítač.
Uživatel je tedy odstaven, zbývá se vypořádat s vnitřním nepřítelem, kterým je
například předchozí pán počítače (zde nemluvíme o uživateli, ten od doby, kdy
se poprvé připojil na internet, o ničem nerozhoduje). Je tedy nutno vypudit
ostatní boty a další chamraď, protože je možné, že bude třeba celý výkon
počítače, navíc proč bychom se dělili o dobytá území?

V akci
Dnešní boti umožňují útočníkovi získat kompletní kontrolu nad počítačem. O
tvůrcích botů hodně vypovídá, že velká část jejich výtvorů se snaží získat z
počítače aktivační kódy a sériová čísla různých her. Ostatní funkce jsou taktéž
zajímavé:
výpis procesů, jejich spouštění a ukončování
stažení dat přes FTP nebo HTTP získání dat z registrů Windows
manipulace se službami operačního systému
získání e-mailových kontaktů uložených v počítači
monitorování síťové komunikace
spuštění vestavěné open proxy nebo open relay serveru
provedení DoS útoku (většinou několik druhů)
Jediným příkazem vydaným na botnetu je tak možno vymazat z internetu malou
firmu, jejíž půlmegabitová linka rozhodně neodolá náporu několika tisíc botů,
kterým někdo řekl, aby provedli DoS útok na její webový server.
Rovněž důležité je skrytí identity. Například kód Phatbot umožňuje skrýt
identitu komunikačních uzlů jím vytvořené sítě a používá alespoň základní
autentizaci mezi jednotlivými uzly. U Phatbota se jedná o heslo v čistém textu,
ale všechno se vyvíjí a zcela jistě bude v blízké budoucnosti realitou botnet
se silnou autentizací.
Právě zmíněný Phatbot je zdařilou ukázkou dalšího fenoménu využívání open
source softwaru. Tento bot používá komunikační protokol, který je založen na
peer-to-peer protokolu WASTE - ten je v tomto případě obohacen o různé funkce
nutné pro činnost bota.

Kdo je cílem
Média zatím věnují málo pozornosti botům, kteří jsou na vysoké technické
úrovni. Toto opomíjení je dáno především minimálními viditelnými škodami. Pokud
se má malware dočkat pozornosti médií, musí být rychlý, brutální a škody
veliké. Mezi zástupce "populární" kategorie tak patří například Sasser, Saphire
(Slammer) nebo Blaster všechny spadají do kategorie bezhlavých trollů, kteří
zničí všechno, co jim přijde do cesty.
Zmíněné vysoké škody, tolik přitahující pozornost mainstreamových médií, lze
způsobit velkým korporacím pouze v případě použití primitivního malwaru, který
zničí, na co přijde. Boti jsou pro tyto korporace relativně neškodnou
záležitostí, protože komunikace v jejich sítích jsou omezeny na nezbytné
minimum. I když se tedy bot dostane řekněme do banky, již není schopen dostat
se ven, přihlásit se na IRC a nelze jej tedy ovládat.
Jednoznačným cílem jsou tedy domácí uživatelé, kteří se málokdy starají o
bezpečnost svých plechových miláčků. Těmto lidem sice vadí, že mají pomalejší
počítač dokonce si na to i stěžují, ale nejsou schopni s tím nic dělat, takže
si časem zvyknou. Jejich počítače se tak čas od času zúčastní nějakého DoS
útoku, popřípadě je jejich výpočetní výkon společně s kontakty v adresáři
použit na rozesílání spamu.
Autor je konzultantem společnosti Actinet Informační systémy.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.