BOTNETY

Virtuální kriminalita

Prodám Malware Kit 70 % zákeřných kódů vzniká za

účelem zisku tvorba kódů na zakázku 62 % tvoří virové nástroje umožňující

kontrolu nad infikovanými počítači propojení s organizovaným zločinem

Statistika

Rok 2005

995 klasických virů

17 800 trojských koňů

„S jediným trojským koněm je systém

děravý jako cedník …“

Co je botnet Bot (Robot)

automatický program, který obsahuje komunikační a řídící modul a lze vzdáleně ovládat tak, aby plnil požadované příkazy,

proměňuje počítač v „terminál“ – „zombie“

Botnet (Bot Network) síť infikovaných počítačů mnoha různých

uživatelů, kterou lze řídit automatizovaně prostřednictvím vzdálené správy.

Různé podoby botů od velmi jednoduchých po velmi složité různé podoby

trojský kůň vlastnosti virů kombinovaná hrozba – spojení červa s

botem rychlá mutace jsou vzdáleně ovládány

jedním příkazem se řídí celá řada počítačů

Užiteční boti

eggdrop (1993)

www.energymech.net

www.eggheads.org

Ovládání botů

P2P (peer to peer) sítě diskusní skupiny chatovací protokoly IRC

Dle odhadu expertů, útočníci ovládají 7% z celkového počtu počítačů na světě, tj. cca 47 miliónů strojů.

Zdroj: SecurityFocus

Práce hackerů je čím dál jednodušší

V Internetu existuje takové množství nezabezpečených počítačů, že hackeři nemusí sami hledat bezpečnostní díry, ale stačí jim počkat na vydání bezpečnostní záplaty.

Čas mezi objevením nového nedostatku a jeho využitím k útoku se čím dál více zkracuje.

Analýza Webové servery

MS Windows 2000 Server 1 hod. 17 min.

Desktopové systémy MS Windows XP Professional

1 hod. 12 sec. MS Windows 2000 Professional

+ Service Pack 43. místo

Případ z praxe

9.8.2005 17.8.200514.8.2005

MS05-39 ZOTOB CNNNew York Times

Přeměna počítače v zombie využívání známých chyb v systému šíření pomocí exploitů používání zadních vrátek

(backdoors) neodpovědnost uživatelů

návštěva rizikových webových stránek stahování programů otevírání podezřelých příloh

Hlavní bezpečnostní hrozbou jsou nezabezpečené počítače

Tip Spyware kvíz

www.siteadvisor.com

Země nejvíce infikované botem7/05 – 12/05

1 USA 26 %

2 Velká Británie 22 %

3 Čína 9 %

4 Francie 4 %

5 Jižní Korea 4 %

6 Kanada 4 %

7 Taiwan 3 %

8 Španělsko 3 %

9 Německo 3 %

10 Japonsko 2 %

Zdroj: SYMANTEC

Síla botnetu Rozesílání spamu (až 70 %) Phishingové útoky Krádež citlivých informací DDoS útok Šíření zákeřného kódu Automatizované otvírání reklam Vymáhání výpalného

Spojení kriminality s byznysem

Script Kiddies

hackeři

nájemný počítačový zločinec

organizovaný zločin

pronajímání sítí, vydírání, podvody, krádeže, …

anonymně v prostředí internetu

Počet infikovaných počítačů za den

Zdroj: SYMANTEC

Spybot (4300 variant)

Gaobot

DoS útoky za týdenZdroj: SYMANTEC

Známé případy - 1

Leden 2005, USA Kalifornie Jeanson James Ancheta (20) první soudní proces za zneužívání

botnetů ovládl přes 400 počítačů (od

června 2004) napadnuté počítače nabízel k

pronajmutí zisk přes 60 tisíc dolarů

Známé případy - 2 Říjen 2005, Holandsko

zatčeni 3 hackeři (19, 22, 27) Botnet využívali ke krádeži

citlivých údajů dle vyšetřování měli k dispozici

přes 1,5 miliónů napadených počítačů

Reálná hrozba

Známé případy - 3 Únor 2006, USA

Christopher Maxwell díky pop-up reklamě na

kompromitovaných počítačích zisk 100 tisíc dolarů

leden 2005 -DDoS útok na počítačovou síť nemocnice v Seattlu

Zákeřnost botů neutralizace antivirového programu

např. modifikací systémového souboru hosts

vyřazení FW aktualizace botu změna funkcionality změna bezpečnostního nastavení

systému

Válka botů - Botwar boj o moc skupiny červů se

navzájem likvidují 8/2005

červi skupiny IRCbot, BOZORI ničí škodlivý kód skupiny ZOTOB

Infekce botem boty mohou odolávat antivirovým

programům odstranění bota = odstranění neznámého viru 100 % jistota = reinstalace systému

Aktivní prevence pravidelně záplatovat OS aktualizovat antiviry, antispyware FW pouze důvěryhodné webové stránky neinstalovat neověřené programy nereagovat na spam neotvírat neznámé přílohy ….

Tip Zkontrolujte si aktualizaci

antivirové databáze Přehled antivirových programů:

find.pcworld.com/49708 Využijte on-line skener:

kaspersky.com bitfender.com

Boj proti malwaru restriktivní pravidla elektronické

komunikace definovaná politika záplatování IDS / IPS informovanost zainteresovaných

pracovníků o aktuálních hrozbách

Co lze očekávat nárůst kriminálních útoků útoky přesně zacílené novější botnety – díky malé

velikosti se mohou lépe skrýt nová hrozba ZERO DAY

cílené útoky na chyby ještě předtím, než je vydána bezpečnostní záplata

Odkazy http://en.wikipedia.org/wiki/Botnet http://honeynet.org/papers/bots http://swatit.org/bots http://www.cert-in.org.in/knowledgebase/

whitepapers/ciwp-2005-05.pdf http://www.securityfocus.com/columnists/398 http://www.symantec.com/enterprise/threatreport

/index.jsp