BOTNETY
Virtuální kriminalita
Prodám Malware Kit 70 % zákeřných kódů vzniká za
účelem zisku tvorba kódů na zakázku 62 % tvoří virové nástroje umožňující
kontrolu nad infikovanými počítači propojení s organizovaným zločinem
Statistika
Rok 2005
995 klasických virů
17 800 trojských koňů
„S jediným trojským koněm je systém
děravý jako cedník …“
Co je botnet Bot (Robot)
automatický program, který obsahuje komunikační a řídící modul a lze vzdáleně ovládat tak, aby plnil požadované příkazy,
proměňuje počítač v „terminál“ – „zombie“
Botnet (Bot Network) síť infikovaných počítačů mnoha různých
uživatelů, kterou lze řídit automatizovaně prostřednictvím vzdálené správy.
Různé podoby botů od velmi jednoduchých po velmi složité různé podoby
trojský kůň vlastnosti virů kombinovaná hrozba – spojení červa s
botem rychlá mutace jsou vzdáleně ovládány
jedním příkazem se řídí celá řada počítačů
Užiteční boti
eggdrop (1993)
www.energymech.net
www.eggheads.org
Ovládání botů
P2P (peer to peer) sítě diskusní skupiny chatovací protokoly IRC
Dle odhadu expertů, útočníci ovládají 7% z celkového počtu počítačů na světě, tj. cca 47 miliónů strojů.
Zdroj: SecurityFocus
Práce hackerů je čím dál jednodušší
V Internetu existuje takové množství nezabezpečených počítačů, že hackeři nemusí sami hledat bezpečnostní díry, ale stačí jim počkat na vydání bezpečnostní záplaty.
Čas mezi objevením nového nedostatku a jeho využitím k útoku se čím dál více zkracuje.
Analýza Webové servery
MS Windows 2000 Server 1 hod. 17 min.
Desktopové systémy MS Windows XP Professional
1 hod. 12 sec. MS Windows 2000 Professional
+ Service Pack 43. místo
Případ z praxe
9.8.2005 17.8.200514.8.2005
MS05-39 ZOTOB CNNNew York Times
Přeměna počítače v zombie využívání známých chyb v systému šíření pomocí exploitů používání zadních vrátek
(backdoors) neodpovědnost uživatelů
návštěva rizikových webových stránek stahování programů otevírání podezřelých příloh
Hlavní bezpečnostní hrozbou jsou nezabezpečené počítače
Tip Spyware kvíz
www.siteadvisor.com
Země nejvíce infikované botem7/05 – 12/05
1 USA 26 %
2 Velká Británie 22 %
3 Čína 9 %
4 Francie 4 %
5 Jižní Korea 4 %
6 Kanada 4 %
7 Taiwan 3 %
8 Španělsko 3 %
9 Německo 3 %
10 Japonsko 2 %
Zdroj: SYMANTEC
Síla botnetu Rozesílání spamu (až 70 %) Phishingové útoky Krádež citlivých informací DDoS útok Šíření zákeřného kódu Automatizované otvírání reklam Vymáhání výpalného
Spojení kriminality s byznysem
Script Kiddies
hackeři
nájemný počítačový zločinec
organizovaný zločin
pronajímání sítí, vydírání, podvody, krádeže, …
anonymně v prostředí internetu
Počet infikovaných počítačů za den
Zdroj: SYMANTEC
Spybot (4300 variant)
Gaobot
DoS útoky za týdenZdroj: SYMANTEC
Známé případy - 1
Leden 2005, USA Kalifornie Jeanson James Ancheta (20) první soudní proces za zneužívání
botnetů ovládl přes 400 počítačů (od
června 2004) napadnuté počítače nabízel k
pronajmutí zisk přes 60 tisíc dolarů
Známé případy - 2 Říjen 2005, Holandsko
zatčeni 3 hackeři (19, 22, 27) Botnet využívali ke krádeži
citlivých údajů dle vyšetřování měli k dispozici
přes 1,5 miliónů napadených počítačů
Reálná hrozba
Známé případy - 3 Únor 2006, USA
Christopher Maxwell díky pop-up reklamě na
kompromitovaných počítačích zisk 100 tisíc dolarů
leden 2005 -DDoS útok na počítačovou síť nemocnice v Seattlu
Zákeřnost botů neutralizace antivirového programu
např. modifikací systémového souboru hosts
vyřazení FW aktualizace botu změna funkcionality změna bezpečnostního nastavení
systému
Válka botů - Botwar boj o moc skupiny červů se
navzájem likvidují 8/2005
červi skupiny IRCbot, BOZORI ničí škodlivý kód skupiny ZOTOB
Infekce botem boty mohou odolávat antivirovým
programům odstranění bota = odstranění neznámého viru 100 % jistota = reinstalace systému
Aktivní prevence pravidelně záplatovat OS aktualizovat antiviry, antispyware FW pouze důvěryhodné webové stránky neinstalovat neověřené programy nereagovat na spam neotvírat neznámé přílohy ….
Tip Zkontrolujte si aktualizaci
antivirové databáze Přehled antivirových programů:
find.pcworld.com/49708 Využijte on-line skener:
kaspersky.com bitfender.com
Boj proti malwaru restriktivní pravidla elektronické
komunikace definovaná politika záplatování IDS / IPS informovanost zainteresovaných
pracovníků o aktuálních hrozbách
Co lze očekávat nárůst kriminálních útoků útoky přesně zacílené novější botnety – díky malé
velikosti se mohou lépe skrýt nová hrozba ZERO DAY
cílené útoky na chyby ještě předtím, než je vydána bezpečnostní záplata
Odkazy http://en.wikipedia.org/wiki/Botnet http://honeynet.org/papers/bots http://swatit.org/bots http://www.cert-in.org.in/knowledgebase/
whitepapers/ciwp-2005-05.pdf http://www.securityfocus.com/columnists/398 http://www.symantec.com/enterprise/threatreport
/index.jsp