Botnety zůstávají hrozbou

14. 12. 2010

Sdílet

Předchůdcem dnešních škodlivých botů, a tím pádem i botnetů, byl program zvaný RAT (Remote Access Tool). Smyslem tohoto programu je, že správce systému může řídit počítače v určité firmě, ale přitom nemusí sedět u každého počítače osobně.

Boti mohou fungovat pod operačními systémy Windows, Unix, Linux, Mac nebo v podstatě na jakémkoliv univerzálním počítači. Lze je naprogramovat tak, aby poslouchali příkazy zadávané přes internet a aby plnili nejrůznější úkoly. Vlastně neexistuje nic, co by bot na počítači uživatele nedokázal.

Většina prvních botů představovala užitečné prográmky sloužící k dobrým účelům – měli lidem zautomatizovat úmorné, nudné a zdlouhavé počítačové úkoly. Ti současní jsou však naprogramovaní tak, aby autonomně prováděli určité úkony a aby navíc plnili příkazy zadávané z řídicího centra umístěného na internetu.

To znamená, že botovi lze přikázat, aby provedl několik úkonů, přičemž takový příkaz lze i velice rychle změnit. Server, který botovi říká, co má dělat, se obvykle nazývá Command and Control (C&C), přičemž osoba ovládající bot je označována jako botmaster nebo botherder. Pokud několik počítačů, v  nichž je nainstalovaný bot, poslouchá stejný „command and control centre“, vznikne takzvaný botnet.

Než se začneme věnovat odvrácené stránce botů, podíváme se na největší botnet na světě, i když ten zřejmě žádné nekalé činnosti nepáchá. Pokud totiž používáte systém Windows, je váš počítač pravděpodobně jeho součástí. Každé druhé úterý v měsíci se stovky milionů počítačů „probudí“ a začnou automaticky stahovat aktualizace zabezpečení. Většina uživatelů o tom ani neví. Tomuto procesu se říká automatická aktualizace.

 

Odvrácená strana

Předchůdcem dnešních škodlivých botů, a tím pádem i botnetů, byl program zvaný RAT (Remote Access Tool). Smyslem tohoto programu je, že správce systému může řídit počítače v určité firmě, ale přitom nemusí sedět u každého počítače osobně. Tvůrci malwaru si ovšem spočítali, že kdyby se jim podařilo nainstalovat klienta (malware) na cizí počítač, mohli by ho ovládat odkudkoliv na světě.

Boti a botnety plní několik hlavních cílů a navíc mají i jiné potenciálně široké využití. Jejich nejběžnějším úkolem je rozesílat spamy. Pokud se například někdo rozhodne odeslat sto milionů spamů, trvalo by to přes jeden stroj poměrně dlouho. V okamžiku, kdy si začnou příjemci stěžovat, poskytovatel internetu počítač zablokuje, takže e-maily není možné dál rozesílat. Když ovšem přikáže 50 000 počítačů ve stovce nejrůznějších zemí, aby každý rozeslal 2 000 e-mailů, bude dost těžké jim v tom zabránit a mně jako původci zprávy nebude hrozit téměř žádné nebezpečí, že bych mohl být vystopován.

Nebo jiný příklad: Každý server připojený do internetu dokáže v určitou dobu přijmout jen určité množství dat. Botmaster nebo botherder disponující flotilou 50 000 počítačů může svoji armádu donutit k tomu, aby na webovou stránku zaslala obrovské množství dat. Takovému útoku se říká DDoS (Distributed Denial-of-Service).

Na jeden počítač neútočí jiný počítač, nýbrž desetitisíce počítačů najednou a napadená webová stránka nedokáže poskytovat uživatelům své služby. Proč by někdo podnikal takový útok? Existuje hned několik důvodů. Například vydírání. Jakmile útočník zahájí útok, spojí se anonymně s majitelem webové stránky a nabídne mu, že útok zastaví výměnou za určitý finanční obnos. Jindy zase rozesilatelé spamů spustí útok DDoS na antispamový web, aby nemohl dál spamy blokovat.

Chce-li botherder třeba prodávat přístup k ilegálním hudebním souborům nebo k dětské pornografii, je pro něj přechovávání těchto ilegálních souborů na jeho počítači příliš nebezpečné. Počítači s nainstalovaným botem tedy přikáže, aby tyto ilegální soubory stáhl a sdílel. Pachateli pak hrozí jen minimální nebezpečí – pokud policie tyto soubory odhalí, stane se tak v počítači oběti. Následně může dojít k zatčení, soudu a odsouzení nevinných jedinců.

Policisté často nemají dostatečné technické znalosti, a tak jim nemusí dojít, že přítomnost určitého programu v počítači neznamená, že si ho do něj nainstaloval uživatel.

 

Jak se bránit

Boj proti botnetům probíhá – například hostingové společnosti odpojují podezřelé servery, ale i přesto zhruba 50 – 60 % veškerého spamu mají na starosti tyto na dálku ovládané sítě. Jako velký botnet je možné označit síť, která má více než 100 tisíc ovládaných počítačů.

Z pohledu antivirové společnosti probíhá boj proti botnetům na základní úrovni, tedy odhalováním nových, na dálku ovládaných škodlivých kódů (srdce botů), a to jak pomocí účinné heuristické analýzy, tak samozřejmě vytvářením nových vzorků (aktualizace virových databází) – pokud totiž nedojde k infikování počítače malwarem, jen těžko může vzniknout nějaký bot, respektive botnet.

Ze současného malwaru, který stojí za významnými botnety, lze kromě známého Confickera (prý je podle odhadů botnet tvořený tímto červem denně rozeslat až 10 miliard spamů) zmínit Bredolab, který jako downloader stahuje hlavně falešné antiviry a je i původcem spamu. A také Mebroot, který se specializuje na kradení citlivých dat.

Tento malware se sám umisťuje do běžících procesů v počítači a snaží se vypnout bezpečnostní programy (uživatel o něm nemusí vůbec vědět). Je schopný se sám kopírovat do systémových souborů a spouštět se při každém zapnutí počítače. Zároveň komunikuje se vzdáleným serverem prostřednictvím protokolu http. Pokud je tedy tento trojský kůň v systému, jeho hlavní úlohou je stahovat do infikovaného počítače další škodlivé kódy. V současnosti už není v TOP10 šířených infiltrací, ale stále je aktivní.

ICTS24

 

Tento text vyšel v tištěném SecurityWorldu 1/2010.