Groźne sieci P2P

Sieci botnet już teraz stanowią duży problem, ale to dopiero zapowiedź kłopotów,jakie mogą nas spotkać już w bliskiej przyszłości za sprawą botnet P2P.

Sieci botnet już teraz stanowią duży problem, ale to dopiero zapowiedź kłopotów,jakie mogą nas spotkać już w bliskiej przyszłości za sprawą botnet P2P.

Kilka tygodni temu w Cambridge (Stany Zjednoczone) odbyła się konferencja HotBots, pierwsza impreza tego typu specjalnie dedykowana sieciom botnet peer-to-peer (P2P). Jednym z ważniejszych wydarzeń, jakie miały miejsce w trakcie jej trwania, była prezentacja dokumentu "Botnety Peer-to-Peer: Przegląd i studium przypadku" przygotowanego przez naukowców z trzech amerykańskich instytucji. Julian Grizzard z Laboratorium Fizyki Stosowanej na Uniwersytecie Johna Hopkinsa; Vikram Sharma, Chris Nunnery i Brent ByungHoon Kang z Uniwersytetu Północnej Karoliny w Charlotte oraz David Dagon z Instytutu Technologii stanu Georgia dokonali w nim analizy zachodzącej od pewnego czasu ewolucji technologii sieci botnet P2P.

Obecnie większość botnetów wykorzystuje scentralizowaną strukturę zarządzania, bazującą najczęściej na kanałach komunikacyjnych IRC. Jest to po części skutkiem tego, że wokół tej technologii rozwinęła się znaczna wiedza oraz powstała duża ilość kodu, który można wykorzystać. Niemniej jednak scentralizowana struktura powoduje, że takie sieci botnet są systemami stosunkowo łatwymi do unieszkodliwienia, choć w praktyce wciąż są bardzo popularne i miliony komputerów w Internecie zostały włączone w tego typu sieci i aktywnie w nich działają.

Botnety P2P to jednak zupełnie inna historia. Wykorzystują one idee i technologie, które stanowią fundamenty sieci P2P przeznaczonych do wymiany plików i pozwalają na decentralizację zarządzania, a tym samym stają się o wiele trudniejsze do wykrycia i wyeliminowania. Botnety tego typu to niestety stosunkowo nowe, ale coraz powszechniejsze zagrożenie. Dla zilustrowania jego charakterystyki podczas konferencji naukowcy zaprezentowali istniejącą sieć botnet stworzoną przez robaka Trojan.Peacomm. Po raz pierwszy został on zarejestrowany w styczniu br., ale niedawno znów dał o sobie znać - pojawiły się kolejne jego wersje.

Krótka historia sieci botnet

Historia botnetów IRC rozpoczyna się w 1993 r., kiedy pojawił się bot EggDrop. Pierwszy złośliwy botnet został stworzony pięć lat później. Był to GTbot oraz jego tzw. warianty. Punktem zwrotnym w historii botnetów był jednak rok 2002 i pierwsze warianty Agobota. "Były to prawdopodobnie jedne z najbardziej rozpowszechnionych botów. Zadecydował o tym dobry projekt oraz modularny charakter kodu" - napisali naukowcy w swoim raporcie. "Naszym zdaniem Agobot stanowi punkt zwrotny, od którego botnety stały się znaczącym zagrożeniem" - dodają.

Pierwszym w pełni zdecentralizowanym protokołem P2P była Gnutella, która pojawiła się w 2000 r. Od tego czasu stworzono już kilka innych protokołów. Trojan.Peacomm wykorzystuje sieć Overnet, która stanowi implementację algorytmu Kademlia. Overnet został oryginalnie stworzony do obsługi klientów wspomagających współdzielenie plików, takich jak eDonkey 2000. Chociaż własne zasoby Overnet zostały zablokowane pod koniec ubiegłego roku na skutek działań prawnych wymierzonych w tę organizację, aplikacje klienckie, które są całkowicie zdecentralizowane, mogą nadal działać.

Trojan.Peacomm jest dystrybuowany za pośrednictwem robaków znajdujących się w poczcie elektronicznej. Jeśli zostanie zainstalowany w komputerze, staje się częścią sieci Overnet. Jest to możliwe, ponieważ klient wykorzystuje listę węzłów Overnet, które są najprawdopodobniej dostępne online.

Sprytna bestia

Właśnie wspomniana lista węzłów może stanowić jeden ze scentralizowanych sposobów zatrzymania węzła przed jego aktywacją. Jednak ze względu na to, że zawiera ona aż 146 węzłów, jest to bardzo trudne. Dla uzyskania odpowiedniego efektu blokady konieczne jest bowiem wyłączenie z sieci wszystkich węzłów.

Złośliwe oprogramowanie po zainstalowaniu zaczyna sprawdzać aktywne węzły, wykorzystując ustalone wcześniej klucze do wyszukiwania i pobiera z Overnet tzw. wartości, czyli zaszyfrowane URL, które wskazują na lokalizację plików możliwych do pobrania. Pliki te zawierają programy pozwalające na pełne wyposażenie węzła w narzędzia komunikacyjne oraz kody, które można wykorzystać do uruchamiania internetowych ataków na inne komputery w sieci.

Przeciwdziałanie systemom tego rodzaju - zdaniem naukowców - jest bardzo trudne. Poza możliwą techniką wykorzystania listy węzłów do blokowania działania sieci rozważa się także inne metody atakowania botnetów P2P, m.in. metodę tzw. zatruwania indeksu (index poisoning). "Zatruwanie indeksu może być wykorzystywane w celu spowolnienia tempa infekcji bota lub prawdopodobnie również do mierzenia liczby zainfekowanych botów" - napisali w swojej analizie naukowcy.