Tajna sieć

Przeprowadzone badania potwierdzają, że do tworzenia i zarządzania botnetami wykorzystywane są wysoko zaawansowane techniki.


Wiele z mechanizmów organizacji botnetów nie zostało jeszcze poznanych, ale wnioski z już przeprowadzonych w tej dziedzinie badań są interesujące. Szczegółowa analiza daje potwierdzenie opinii, że nie jest to działalność amatorska. Choć jest ona trudna, bo twórcy botnetów często opracowują zaawansowane mechanizmy przeciwdziałające wykryciu stosowanych przez nich technik, aby utrudnić obronę.

Należy podkreślić, że botnet sam w sobie nie jest zagrożeniem dla bezpieczeństwa, a tylko narzędziem, które może być wykorzystane do działań naruszających bezpieczeństwo, aktywności niezgodnej z prawem lub naruszającej prywatność. Kto i w jaki sposób zostanie zaatakowany, zależy od praktycznej implementacji - konkretnego "wdrożenia" tej techniki.

Prezentowane niżej badania mają na celu analizę mechanizmów wykorzystywanych do zarządzania botnetami oraz technik modyfikacji kluczowych adresów IP. Poznanie reguł nimi rządzących istotnie ułatwia likwidację tego typu sieci.

Sieci zwane botnetami są tworzone przez cyberprzestępców, którzy przejmują kontrolę nad komputerami PC. Obecnie sieci te są wykorzystywane do wysyłania olbrzymich ilości niepożądanej poczty (spamu), dokonywania włamań, ale także przetwarzania danych przy wykorzystaniu ich mocy obliczeniowej. Dla zapewnienia nieprzerwanej pracy takiej nielegalnej sieci niezbędna jest wiedza dotycząca zarządzania tak skomplikowaną infrastrukturą IT.

Włamywacze tworzą zaawansowane struktury sieci botnet w taki sposób, aby mogły przetrwać nawet dużą reorganizację i utratę wielu elementów. David Vorel, badacz związany z projektem HoneyNet, opublikował wynik badań, wykorzystujących informacje o pracy botnetów, które udało mu się przechwycić i zanalizować. Zamiast suchych cyfr i danych o komputerach, przedstawił wyniki w formie wizualizacji (csoonline.com/article/348317/What_a_Botnet_Looks_Like) prezentującej strukturę typowych botnetów. Należy jednak podkreślić, że nie wszystkie sieci są tak samo zorganizowane i wiedza o ich konstrukcji jest nadal niepełna.

Jeden pan i władca

Najprostsza sieć składa się z komputerów kontrolowanych z jednej domeny (lub nawet z jednego adresu IP). Jest mało odporna na likwidację, bowiem zamknięcie komputera lub domeny kontroli powoduje wyłączenie całej funkcjonalności botnetu. Tego typu sieci stosowane są głównie do koordynacji przejętych komputerów domowych, gdzie wykrycie kompromitacji stacji roboczej z Windows jest mało prawdopodobne. Botnety takie są też wykorzystywane do testowania oprogramowania, zanim zostanie ono użyte na szeroką skalę. Z punktu widzenia cyberprzestępców tego typu rozwiązanie ma poważną wadę, gdyż statyczny serwer jest łatwy do wykrycia i stosunkowo łatwo go wyłączyć, na przykład przez odcięcie łącza internetowego, wprowadzenie restrykcji sieciowych lub zablokowanie domeny.

Czarna gwiazda

Struktura typowego "komercyjnego" botnetu przypomina gwiazdę. Wchodzące w jego skład komputery są kontrolowane przez kilka maszyn z różnych domen. Hackerzy zabezpieczają się nie tylko przed awariami łącz, ale także przed utratą kontroli w razie zamknięcia jednej maszyny lub nawet całej domeny. Kontrola za pomocą adresów zapisanych w postaci pełnej nazwy domenowej FQDN (Fully Qualified Domain Address) jest lepsza niż wpisywane "na sztywno" adresy IP, bo powoduje uodpornienie na zmiany IP spowodowane odłączeniem kontrolującej botnet maszyny przez dostawcę Internetu. Po utracie łącza, cyberprzestępcy dokonują zmian w ustawieniach strefy DNS, by ten sam adres domenowy wskazywał na nowe IP u innego dostawcy. W tym celu powszechnie wykorzystuje się domeny.info rejestrowane przez Afilias Limited, gdyż są tanie, a ich uzyskanie jest łatwiejsze, bo nie kontrolowane tak dokładnie jak w wypadku domen.com lub regionalnych. Często są to domeny rejestrowane w takich krajach, jak Chiny lub Singapur, gdzie wpływ względnie restrykcyjnej jurysdykcji amerykańskiej lub europejskiej jest niewielki.

Policjanci i złodzieje

Gdy botnet znajdzie się na celowniku stróżów prawa lub organizacji zajmujących się bezpieczeństwem teleinformatycznym, zazwyczaj ewoluuje, zmieniając domeny, z których jest kontrolowany. Zmiany te często odbywają się automatycznie, na przykład jeśli zostanie zamknięta domena, w której pracowały serwery kontrolujące tajną sieć. Ponieważ popularnym sposobem namierzania sieci botnet jest kontrola połączeń celowo zarażonej stacji roboczej, po pewnym czasie śledztwo doprowadza do nowej domeny. Wówczas zostaje ona zamknięta... i tak dalej.

Wielogłowa hydra

Niektóre sieci wykorzystują mechanizmy umożliwiające przełączanie adresów serwerów kontrolujących dany botnet. Ma to na celu zmniejszenie prawdopodobieństwa wykrycia i likwidacji sieci. Wiadomo, że w najbardziej zaawansowanych botnetach wykorzystywane są co najmniej dwa poziomy przełączenia zapewniające kontrolę i zarządzanie nimi przy pomocy różnych komputerów z różnych domen. Oprócz adresów przełączanych cyklicznie, istnieje jeszcze rezerwowa lista, z której oprogramowanie korzysta, gdy nie działa już żadna z domen normalnej listy. Twórcy botnetów wykorzystują mechanizmy aktualizacji konfiguracji oprogramowania i dzięki temu mogą szybko zmienić ustawienia domen, w których znajdują się serwery kontrolujące sieć. Analiza połączeń potrafi wykryć taką aktualizację ex post, ale trudno jest ją szybko analizować, bo transmisje często są chronione przez mechanizmy zaawansowanego szyfrowania danych.

HTTPS na usługach botnetu Gdy podda się analizie połączenia, oddzielając typową aktywność komputerów od danych wysyłanych przez złośliwy kod, można określić zasięg botnetu oraz jego sposób komunikacji. Historycznie pierwszym sposobem kontroli sieci przejętych komputerów był statyczny serwer (FTP lub HTTP) chroniony hasłem albo komunikacja za pomocą prywatnego kanału IRC. Periodyczne odpytywanie kanału IRC lub zewnętrznego serwera HTTP rozwiązywało problemy z komunikacją wewnątrz NAT. Gdy komunikatory internetowe nie były zbyt popularne, powszechnie korzystano właśnie z IRC, zatem połączenia typowe dla tego protokołu nie były niczym niezwykłym. Ponieważ nieszyfrowane połączenia są wrażliwe na podsłuch i mogą zostać łatwo wykryte za pomocą dowolnego sniffera, twórcy złośliwego oprogramowania stosują szyfrowanie komunikacji wykorzystując np. typowy protokół HTTPS. Ich najważniejszym zadaniem jest zapewnienie ciągłej pracy botnetu oraz pozostawanie w cieniu, zatem złośliwe oprogramowanie jest modyfikowane przy wykorzystaniu różnych sposobów ukrywania rzeczywistego adresu, skąd pobierana jest aktualizowana lista aktywnych elementów sieci. W tym celu używane są przejęte serwery FTP lub HTTPS, pośredniczące serwery SSL proxy, a nawet remailery, czyli programy przekazujące pocztę elektroniczną usuwając przy tym wszystkie informacje z poprzedniego serwera, jak np. popularny mixmaster.