Botnet. Toto záhadné slovo v poslednom čase čítate na každom kroku. Väčšina odborných médií sa o botnetoch prakticky neustále zmieňuje v menšej, či väčšej miere. Málokto však vie, čo sa za týmto označením skrýva a akú úlohu botnety zohrávajú v dnešnom svete počítačov.

Obsah

• Úvod
• História malwaru
• Botnety
• Ako funguje botnet
• Ako „chytiť“ vírus
• Hlava botnetu
• Komunikácia Botnetu
• IRC
• ICQ
• HTTP
• Fast-Flux
• Využitie botnetov
• DDoS
• Spam
• Phishing
• Prenájom strojového času
• Proxy
• Odcudzovanie citlivých údajov
• Ako odhaliť botnet
• Botnety vo svete
• Storm
• Ďalšie botnety
• Cena
• Záver

Úvod

Botnet je akási skomolenina dvoch slov. Prvým je bot, teda robot. Slovo robot údajne po prvýkrát použil český spisovateľ Karel Čapek vo svojom diele R.U.R.. Pôvodne chcel použiť slovo Labor (namáhavá práca), ale na radu svojho brata sa nakoniec priklonil k slovu robot, ktorým chcel zdôrazniť, že roboty sú určené pre vykonávanie ťažkej a úmornej práce (čiže roboty). Druhým slovom net, teda network, čiže sieť.

Za botnet sa dnes považuje sieť akýchkoľvek počítačov prepojených určitou väzbou, ktorá umožňuje ovládať všetky počítače z jediného miesta, aby vykonávali akékoľvek zadané príkazy. Botnetom sa neoznačuje len škodlivá sieť tzv. zombie počítačov, ale aj napríklad počítačová sieť v spoločnosti Google, ktorá vykonáva zadané príkazy na viacerých počítačoch naraz (MapReduce).

Aby ste mohli pochopiť dôvody vzniku botnetov a ich fungovanie, je nutné sa pozrieť na vývoj malwaru v minulosti a dnes.

História malwaru

Ak ste sa s týmto pojmom už stretli, ale neviete čo znamená, malware je zlúčenina dvoch slov. Malicious ako záludný, ware ako software, teda softvér. Týmto výrazom sa dnes označujú všetok škodlivý softvér (vírusy, trojany, rootkity, atď.). Tento výraz vznikol z potreby pomenovať celú skupinu škodlivého softvéru, ktorý si verejnosť mylne zamieňa za slovíčko vírus, ktoré však popisuje jediný typ škodlivého softvéru.

Prvým škodlivým softvérom boli práve vírusy, ktoré boli napísané ako určité experimenty pre operačný systém MS-DOS. Cieľom vírusov bolo dokázať „kvality“ tvorcu, ktorý si takto zabezpečil prakticky „večnú“ slávu. Prvenstvo drží vírus The Creeper objavený v sieti ARPANET (predchodca internetu), ktorý bol vytvorený začiatkom 70tych rokov minulého storočia. Prvým vírusom pre PC bol (c)Brain, ktorý sa usídlil v boot sectore (prvý sektor) na médiu naformátovanom DOS súborovým systémom FAT a vznikol začiatkom roku 1986.

Prvým škodlivým softvérom, ktorý sa šíril prostredníctvom internetu, bol červ, ktorý dostal meno po svojom tvorcovi Robertovi Tappanovi Morrisovi, Morris worm. Morris tohoto červa vytvoril v roku 1988 a rozšíril z univerzitnej siete MIT (Massachusetts Institute of Technology), na ktorej sa po odpykaní trestu uloženého súdom stal profesorom. Morris bol prvým človekom na svete, ktorý bol odsúdený za počítačovú kriminalitu (tri roky podmienečne, 400 hodín verejno-prospešných prác a pokuta 10,050 dolárov)

Malware bol vo svojich začiatkoch vytváraný za účelom propagácie schopnosti tvorcov a pre ich zábavu. Mnoho vírusov bolo vytvorených za účelom poškodiť počítače obete, alebo zničiť súbory na disku nahradením náhodne generovaným dátami. Ako sa zvyšovala internetizácia spoločnosti a samozrejme začali plynúť prvé finančné výhody z jeho používania, tak sa aj tvorcovia vírusov začali prispôsobovať tomuto vývoju a začal vznikať malware vytvorený za účelom finančného obohatenia.

Prvé vírusy a červy vytvorené za účelom prevziať kontrolu nad počítačom obete, sa začali objavovať počiatkom roku 2003. Tieto zombie počítače boli následne predávané na čiernom trhu za slušné peniaze. Zombie počítače boli používané na masívne spamovanie, distribúciu detskej pornografie, alebo útoky DDoS (distributed denial-of-service) vykonávané za účelom vydierania. Tento malware bol prvou predzvesťou dnešných botnetov.

Botnety

Ako som už napísal, botnet je žargón pre zoskupenie softvérových robotov spojených prostredníctvom internetu (alebo inej siete). Botnety, sa dajú rozdeliť do dvoch skupín. Prvou skupinou sú botnety, ktoré sú vytvárané so súhlasom majiteľa počítača. Existuje niekoľko komerčných, ale aj „slobodných“ projektov, ktoré využívajú kapacitu počítačov vo svete na rôzne úlohy.

Tou druhou skupinou sú botnety, ktoré sú vytvorené bez súhlasu (väčšinou aj bez vedomia) majiteľa počítača. Kdežto prvá skupina je úplne v poriadku a je úplne legálna, ta druhá je presný opak. Práve druhej skupine sa budem vo zvyšku článku venovať.

Ako funguje botnet

Botnet pozostáva vždy z dvoch základných častí. Je to malware, ktorý sa usídli v počítači obete a riadiace stredisko, kam sa všetky infikované počítače (zombie) pripájajú. Rôzne nové botnety majú ešte niekoľko ďalších súčastí, ale o tých až pri popise jednotlivých botnetoch. Čiže, na zostavenie botnetu je potrebné mať len veľmi málo „súčiastok“, ktoré sa dajú zakúpiť za celkom nízke ceny. Jednoduchší malware podporujúci HTTP, či IRC komunikáciu vás bude stáť na čiernom trhu okolo 100 dolárov. So stupňom kvality sa samozrejme stupňuje aj jeho cena. Je veľmi zložité definovať nositeľa (malware) ako konkrétny typ, ale najčastejšie to býva vírus. Nie je to však vírus v tej „old style“ podobe. Tie pôvodné totižto boli konštruované (ako som už napísal) za účelom nejak poškodiť napadnutý počítač. Primárnou úlohou dnešných botnetov je zostať čo najviac v anonymite, aby si užívateľ nevšimol čo najdlhšie možnú dobu, že má svoj počítať infikovaný. Len fungujúci botnet môže zarábať peniaze svojmu majiteľovi.

Vírusy, ktoré vytvárajú takúto sieť, sú najčastejšie distribuované za pomoci trojanov, alebo im „cestičku“ vytvorí rootkit, ktorý umožní „bezpečný“ priechod cez „hranice“ antivíru a firewallu. Rootkit je program, alebo kombinácia viacerých programov, ktorý je vytvorený za cieľom získať práva administrátora na cieľovom počítači bez vedomia majiteľa. Slovo rootkit pochádza od slova root, ktorým sa označuje administrátor na OS Unix (a všetkých odvodeninách). Posledný rootkit, MBR (tiež bol pomenovaný ako Gmer, čo je aj zároveň anti-rootkit), využíva metódu známu ešte z MS-DOS systémov. Po vstupe do cieľového počítača prepíše nultý sektor v MBR (Master Boot Record) a tým si zabezpečí svoje spustenie skôr, ako začne bootovať operačný systém, alebo akýkoľvek iný program. Vďaka tomu je schopný odstaviť nielen firewall, či antivírus, ale aj celé časti OS, ktoré by mu mohli prekážať. Samozrejme všetko robí tak, aby obeť nemala najmenšieho tušenia, že sa niečo stalo. Jediným príznakom tohoto rootkitu je prakticky okamžitý reštart systému po jeho úspešnom prepísaní MBR, aj to v tomto konkrétnom prípade nie je pravda. Rootkit čaká až do najbližšieho reštartu. Ak sa tak nestane do 6 dní od jeho inštalácie, sám vyvolá reštart systému.

Ako „chytiť“ vírus

Pravdepodobne ste už niekedy v živote „chytili“ vírus do svojho počítača. Hlavne tí, čo sa počítačom venovali koncom minulého storočia, si ich určite pamätajú hneď niekoľko. Dnes sa doba zmenila, dostupnosť technológií je prakticky neobmedzená a rovnako aj spôsoby šírenia malwaru. V dávnejších dobách sa vírusy šírili najčastejšie cez média, ako napríklad diskety. Dnes sa majoritné množstvo vírusov širí zásadne internetom (často sú však využívané aj prenosné média, ako USB kľúče, či externé hard-disky). Pri botnetoch to platí dvojnásobne. Počítač, ktorý nie je zapojený v internete je pre autora botnetu prakticky bezcenný.

Autori malwaru dnes volia niekoľko spôsobov, ako infikovať užívateľské počítače. Tým najčastejším je využitie sociálneho inžinierstva. Jedná sa o spôsob manipulácie s obeťou tak, ako útočník potrebuje. Predstaviteľom tejto techniky je notoricky známy hacker Kevin Mitnick, ktorý sociálne inžinierstvo preniesol do sveta počítačov. Pri tomto spôsobe útoku sa najčastejšie používa spam (nevyžiadaná pošta), v ktorej útočník láka obete na rôzne webové stránky, ktoré sú pripravené pre infikáciu počítača malwarom. Dnes je najčastejšie používaný trik s videom, kedy je obeť vyzvaná na nainštalovanie chýbajúceho kódeku (program umožňujúci sledovanie videa). Užívateľ však po stiahnutí takéhoto súboru stiahne pripravený malware, ktorý ho úspešne infikuje. Tí chytrejší útočníci potom prehrajú vyžiadané zábavné, či iné video. Pre rozosielanie nebezpečných liniek sa však využívajú aj rôzne iné spôsoby. Pred rokom, či dvoma sa útočníkom podarilo doslova zamoriť komunikačnú sieť ICQ, v ktorej neustále koloval vírus, ktorý sa šíril za pomoci falošných správ zasielajúcich užívateľom v kontaktom zozname obete. Táto správa obsahovala linku, ktorú ak obeť navštívila a stiahla do počítača kópiu vírusu, proces sa opakoval. Tento spôsob sa používa dodnes a neraz sa stal terčom útoku Skype, MSN a iné siete pre komunikáciu užívateľov.

Druhým spôsobom je infikovať aplikáciu a tú potom zdielať za pomoci výmennej siete p2p. Útočník na rýchlej linke stiahne warez softvér, o ktorý by mohli mať ľudia záujem. V tom za pomoci packerov upraví súbor, najčastejšie crack, do ktorého vloží škodlivý kód. Používa sa buď trojan, ktorý po spustení odstaví antivírusové aplikácie, firewall a pod, rootkit, alebo priamo vírus, ktorý je samozrejme ošetrený proti odhaleniu antivírusovým softvérom. Takto je možné infikovať obrovské množstvo obetí bez toho, aby na to v budúcnosti prišli. Pri správnom prevedení nie je problém infikovať pol milióna počítačov behom niekoľkých dní, či týždňov.

Tretí spôsob, ktorý sa rovnako používa dosť často, je zneužitie bezpečnostných zraniteľností klientských počítačov. Tento proces býva často automatizovaný. Útočníkov robot, alebo celá „rota“ robotov prechádza IP adresy, ktoré následne skenuje a snaží sa zistiť OS, či aplikácie, ktoré sú na danom počítači nainštalované. Ak nájde známu aplikáciu, použije všetky dostupné exploity, ktoré má k dispozícií a pokúsi sa zneužiť možnú zraniteľnosť. Ak sa mu to podarí, do počítača je nainštalovaný ďalší robot, ktorý sa pripojí do siete a pokračuje v prikázanej činnosti. Tento spôsob je zväčša využívaný na počítačoch s OS Windows. Rovnaký útok však smeruje aj na počítače s OS Linux, Unix a to hlavne servery (kde sa tento OS vyskytuje najčastejšie). Tam je však postup o niečo zložitejší. Na začiatku je opäť automatizovaný robot, ktorý hľadá zraniteľnosti systému, alebo nainštalovaných aplikácií. Ak takúto zraniteľnosť nájde, zapíše do databáze svoj objav a pokračuje ďalej. Túto zraniteľnosť sa následne pokúsi zneužiť útočník manuálne, pretože vo väčšine prípadov sú sytémy rozdielne, a preto je potrebné k nim aj tak pristupovať. Výhodou serverov je ich veľká linka, ktorá je narozdiel od bežných domácich mnohonásobne väčšia a preto je ju možné aj lepšie využiť. Taktiež majú tieto servery nainštalované služby ako napríklad SMTP, ktoré je možné použiť na zasielanie spamu. Pokým nie je IP adresa serveru v black-liste, väčšina spamu bude mať pravdepodobne úspech, a dostane sa obetiam priamo do emailovej schránky. Obe metódy sa vzájomne nevylučujú a je ich možné kombinovať na všetkých OS.

Ďalší, dnes stále častejší spôsob, je zneužitie webu. Tento spôsob útoku by sa dal rozdeliť na dve základné časti.

• Zneužitie zraniteľnosti prehliadača – najčastejšie sa využíva pri prehliadači Internet Explorer OS Windows, kde sa zneužíva komponent ActiveX. Ani ostatné prehliadače však nie sú výnimkami. V poslednej dobe sa objavované zraniteľností týkajú nepovoleného spúšťania JavaScriptových skriptov, alebo celkovo problematiky klientských skriptov.
• Zneužitie dôveryhodnosti obete (sociálne inžinierstvo) – napriek tomu, že som o sociálnom inžinierstve už hovoril aj v súvislosti s webom, prípadov a spôsobov je omnoho viacej. Najčastejšie sa zneužíva chyba XSS (Cross-site Scripting), ktorá umožňuje do webu, ktorý obsahuje túto zraniteľnosť, vložiť akýkoľvek skript napísaný v jazyku JavaScript. Táto zraniteľnosť sa často zneužíva na odcudzenie citlivých údajov obetí. I keď je táto zraniteľnosť veľmi podceňovaná, má hneď niekoľko výhod pre útočníka. Úplne potláča výhody SSL (kryptovanej komunikácie, ten maličký zámok zobrazený na spodku prehliadača), zneužíva dobré meno webu, ktorý túto zraniteľnosť obsahuje (takto bolo za posledný mesiac napadnutých niekoľko desiatok tisíc významných webov, ktoré majú denne milióny návštevníkov po celom svete) a obeť v 99% prípadoch vôbec nič netuší. Toto je len časť výhod, ktoré má táto zraniteľnosť pre útočníka a pri správnom použití môže napáchať obrovské škody.

Keď sa k vám do počítača vírus raz dostane, je len veľmi malá pravdepodobnosť, že by ste ho dokázali odhaliť. Dodnes u verejnosti panujú mylné domnienky, že sa vírus prejavuje podobne, ako chrípka u ľudí. Správne napísaný malware je vytvorený tak, aby sa obeť nikdy, alebo najlepšie čo najdlhšiu dobu nedozvedela, že je infikovaná. Rovnako je v dnešnej dobe veľmi naivné spoliehať sa na anti-vírusové riešenia, či firewall. Tieto programy sú potláčané ako prvé pri vstupe malwaru do počítača obete. Dnes vysokosofistikované vírusy dokážu ochranný softvér prispôsobiť tak, aby sa správal úplne štandardne (fungujúce skenovanie, odchytávanie známych verzií vírusov, atď.), ale nebol schopný odhaliť vírus aktívne pôsobiaci v počítači.

Hlava botnetu

Aby ste pochopili komunikáciu botnetu, musíte poznať aj jeho celú štruktúru. Ako som sa zmienil v úvode, botnet sa skladá vždy z minimálne dvoch častí. Malwaru (vírusu), ktorý infikoval obeť a „operačného strediska“, v ktorom útočník rozdáva príkazy. Niekomu by mohlo napadnúť, že takto je útočník prakticky veľmi ľahko odhaliteľný. Áno, existujú prípady zatknutých hackerov, ktorí zanechali stopy vedúce až k nim. Majoritná väčšina je však natoľko inteligentná, aby boli prakticky nevystopovateľní. Riadiace centrum sa zakladá najčastejšie na serveroch s rýchlymi linkami, aby mohli roboty (zombie počítače) v čo najkratšom čase prijímať príkazy a následne ich vykonávať. O spôsobe komunikácie si povieme v ďalšej kapitole. Teraz niečo o vzniku „hniezda“. Hniezdo ja zakladané na serveroch, ktoré boli odcudzené majiteľom (a častom o tom vôbec nevedia), alebo serveroch zakúpených na odcudzenú platobnú kartu, či bankový účet. Pri všetkých podvodných transakciách bývajú použité prakticky nepriestrelné proxy, alebo VPN tunely, ktoré sú vytvárané práve na infikovaných počítačoch obetí a tak, ak sa aj spoločnosť poskytujúca housing pre server dozvie o tom, že sa stala obeťou podvodu, nie je schopná hackera vypátrať. Takto jediná cesta vyšetrovateľov vedie k osobe, ktorá ani netuší, že bol jej počítač infikovaný. Na takto získané servery sú potom inštalované aplikácie, ktoré umožňujú komunikáciu medzi útočníkom a robotmi. Ak sa útočníkovi podarí získať prístup k existujúcemu serveru a dokáže dostatočne zamaskovať svoju prítomnosť, má často vyhraté bez nutnosti investovania ďalších prostriedkov a hlavne drahocenného času. Existujúce servery totižto veľmi často majú už nainštalované všetky potrebné aplikácie, sú dostatočne dobre nakonfigurované a často sú k nim pripojené domény, ktoré sa dajú veľmi dobre využiť. Ak útočník musí celý server zakúpiť, najčastejšie zakúpi aj niekoľko domén, keby o tzv. kardnutý (od slova carding – proces zakúpenia tovaru cez internet za použitia odcudzenej platobnej karty, bankového účtu, atď.) server neprišiel. Takto môže mať serverov hneď niekoľko a ak jeden z nich poskytovateľ zruší, presmeruje útočník doménu na ďalší. Možností je však mnoho, často sú využívané bezplatné, alebo veľmi lacné dynamické DNS (napríklad no-ip.org), ktoré útočníkovi podobné starosti odstránia. Aj tu je však riziko, že poskytovateľ sa rozhodne službu útočníkovi zablokovať pre podozrenie, či ohlásenie ilegálnej činnosti. Preto sa útočníci všemožne snažia svoje hniezdo ochrániť. Najčastejšie sú na tieto servery inštalované IRC daemony (program pre vytvorenie IRC servera). Útočníci už dlhší čas nepoužívajú verejné IRC siete, pretože boli v minulosti veľmi rýchlo odstránení a neboli dostatočne schopní ochrániť najdôležitejšiu časť celého botnetu.

Komunikácia Botnetu

Už by ste mali mať celkom jasnú predstavu o tom, ako botnet funguje. Teraz niečo o jeho komunikácii.

Presne tak, ako mravenčia kolónia, funguje aj botnet. Mnoho robotníkov (zombie počítače) sa vracia do hniezda (operačné stredisko), aby vyložili svoj získaný náklad (u malwaru sa tento náklad označuje ako „payload“; pod nákladom sa myslia získané informácie, či už odcudzené z infikovaného počítača, alebo zo sniffovania, atď.) a získali ďalšie príkazy od kráľovnej (útočník). Najčastejšie spôsoby komunikácie sú tri.

IRC

IRC je zaručene najčastejší spôsob komunikácie, akým spolu útočník a zombie počítače komunikujú. Pri vytváraní vírusu vkladá útočník inštrukcie kam a ako sa má robot pripojiť. Keď vírus úspešne infikuje obeť, pokúsi sa pripojiť na príslušné miesto cez implementovaný protokol. Okamžite po pripojení na IRC sa pokúsi prihlásiť na zaheslovaný kanál. Toto heslo samozrejme pozná. Roboty následne čakajú na príkazy útočníka, alebo vykonávajú dopredu určenú čínnosť (najčastejšie prehľadávanie dokumentov, textových súborov, pamäť prehliadačov a pod.). Útočník sa na IRC prihlasuje podobným spôsobom, až nato, že sa spolu s heslom ku vybranému kanálu musí prihlásiť ako operátor. Takto sa útočníci snažia zabr8níť prebratiu botnetu konkurenciou, výskumníkom, čí náhodným zablúdilcom. Robot sa síce na kanál dostane, no nemôže dávať príkazy, ktoré by mohli ovplyvniť ostatné roboty. Takto si útočník zabezpečí kontrolu nad botnetom. Často je doplnená o ďalšie kontrolné mechanizmy. Najčastejšou obranou je útok. Ak sa napríklad výskumník z antivírusovej spoločnosti pokúsi server oskenovať, aby mal predstavu čo je to zač a čo na ňom môže očakávať, botnet začne okamžite DDoS-ovať ip adresu, z ktorej sa tento sken vykonáva. Pri väčších botnetoch je tento útok totálne deštruktívny, neraz odpojí aj celú podnikovú sieť, či dokonca celého ISP (internet service provider). Sú aj iné spôsoby ochrany, tie sú však omnoho viac komplikované a často sa míňajú účinku, keďže výskumníci z jednotlivých firiem tiež veľmi dobre vedia čo robia.

IRC Botnet

ICQ

Nie až tak častý spôsob komunikácie botnetu. Tento spôsob je o to horší, že ak sa zmení protokol (ako sa to stalo už niekoľkokrát), botnet bude úplne odpísaný. Komunikácia cez protokol ICQ je častejší u menších botnetov, ktoré sú často na tej najnižšej úrovni prevedenia. Poznajú len niekoľko veľmi jednoduchých príkazov, vďaka ktorým môžu začať DDoSovať vybraný cieľ, či užívateľa na ICQ zahltiť statisícami správ, ktoré budú mať za následok buď pád aplikácie, alebo celého systému. Najčastejšie sú však používané pre odcudzovanie citlivých informácií a často vírusy fungujú ako keylogery, teda aplikácie zaznamenávajúce písanie obete na klávesnici. Dnešné keylogery sú však už oveľa vyspelejšie a monitoruju prakticky akúkoľvek akciu na počítači. Vďaka týmto botnetom napadnuté obete prichádzajú o kontá na online hry (ako napríklad WoW, Counter-Strike, atď.), ICQ a samozrejme bankové kontá a podobne. Málokedy sú využívané k priamym útokom za pomoci DDoS, alebo k spamovaniu.

HTTP

HTTP je druhý najpoužívanejší spôsob komunikácie. Používa sa ako tzv. „zálohový plán“, ak by vypadla komunikácia cez IRC. Tento spôsob má hneď niekoľko výhod. Celá komunikácia býva na bežných portoch, čím je odstránená pravdepodobnosť, že by mala obeť zakázané, alebo filtrované napríklad IRC porty svojim ISP (nemusí nutne ísť o porty, občas je jednoducho odfiltrovávaný non-HTTP traffic). Ďalšou výhodou je, že je tento spôsob dosť ťažko odhaliteľný. Ak je používaný web, ktorý má dostatočnú publicitu a meno, je útočník takmer neodhaliteľný. Mnohokrát sa centrálami stávajú veľmi známe a populárne weby, ktoré majú obrovskú návštevnosť. Takto je v bežnom trafficu prakticky nemožné lokalizovať komunikáciu botnetu. Ďalšou výhodou je, že robot nemusí priamo pristupovať do kontrolného panelu útočníka, ktorý používa na správu botnetu (GUI). Robot sa pripojí na špecifickú url, kde vloží základne štatistiky o počítači obete, ako IP adresa, či má užívať verejnú IP adresu, približnú rýchlosť linky, aké zaujímavé programy sú spustené na počítači, aký uptime (čas od spustenia) má počítač a v podstate všetky informácie, ktoré si útočník vyžiada. Potom robot získa ďalšie inštrukcie, ktoré môžu byť v zakódovanom reťazci. Systém komunikácie na strane servera využíva dynamický jazyk a SQL (napríklad PHP a MySQL). GUI (grafické) rozhranie kontrolného panelu býva skôr zriedkavé a vytvárajú ho útočníci, ktorí vytvorili botnet tak, aby jeho primárna (často jediná) komunikácia bola len cez tento protokol. Ak je HTTP len doplnok komunikácie, všetky príkazy sú vykonávané na úrovni výstupov z kódu.

HTTP Botnet

Útočník sa k takémuto serveru najčastejšie dostane za pomoci zraniteľnosti označovanej ako RFI (Remote File Inclusion). Táto zraniteľnosť sa objavuje v aplikáciách napísaných v jazyku PHP. Vďaka tejto zraniteľnosti je možné vzdialene spustiť na serveri škodlivý kód, ktorý mu umožní vložiť na server prakticky čokoľvek (týmto spôsobom sa občas vytvárajú aj samotné botnety, postup je však zložitejší). Útočník vloží na server kód, ktorým si zabezpečí možnosť vkladať a spúšťať svoje aplikácie (nazývané aj PHP Shell). Takto môže prakticky bez pozorovania umiestniť kód pre komunikáciu botnetu.

Toto sú tri najznámejšie prípady komunikácie botnetu s útočníkom. Pre komunikáciu však môže útočník využiť prakticky ktorýkoľvek protokol, ktorý si zvolí a zakomponuje do malwaru.

Keďže žiadna sieť na svete nie je úplne totožná, potýkajú sa aj tvorcovia botnetov s veľkými problémami. Rozdielne nastavenia a rôzne obmedzenia dokážu často menej sofistikované botnety doslova odstaviť. Ak má napríklad robot naprogramovanú jedinú metódu spojenia na konkrétne IRC na presne určený port a tento port bude náhodou zakázaný v podnikovej sieti, alebo napríklad lokálny ISP nedovolí svojim zákazníkom komunikovať na tomto porte, potom je je takýto robot stratený a minie sa svojemu poslaniu. Preto tvorcovia implementujú nové a nové vlastnosti, ktoré sa umožňujú vírusom flexibilne prispôsobovať tomuto „prostrediu“. Posledné objavené kúsky malwaru dokažú komunikovať prakticky cez akýkoľvek port, na niekoľkých rôznych protokoloch, dokážu využívať proxy a šifrujú celú svoju komunikáciu. Takto je ich úspešnosť zmnohonásobená a možnosť odhalenia sa rapídne znižuje. Aby tvorcovia botnetov ešte viac sťažili ich lokalizáciu, vymysleli niekoľko nových spôsobov, ako zakryť celú komunikáciu s hniezdom. Takto vznikla metóda fast-flux a prvý botnet, ktorý ju používal, bol Storm.

Fast-Flux

Metóda fast-flux spočíva v použití ďalšieho/ích stupňov v komunikácii medzi zombie počítačom a hniezdom. Takto sa autori botnetov snažia (a zatiaľ viac než úspešne) zabrániť k odhaleniu ich najzraniteľnejšieho miesta. Ako tretí stupeň sa využívajú buď HTTP, alebo DNS servery. Pri HTTP, nazývané Single-Flux, sa celá komunikácia odohráva na porte 80 TCP a pri DNS, nazývané Double-Flux Service, je to port 53 UDP. Táto metóda je často používaná aj pre určitú formu phishingu.

Príklad z praxe
Obeť sa snaží prihlásiť na stránku svojej banky. Namiesto nej je však zobrazený scam (falošná stránka), ktorá užívateľa vyzve na zadanie citlivých údajov, ako prihlasovacie meno a heslo k bankovému účtu, údaje k platobnej karte, atď. Následne je obeť presmerovaná na správne stránky, alebo na stránky s reklamou.
Pri tejto metóde sa využíva možnosť, že jedna doména môže mať priradených viacero IP adries. Vďaka tomu je možné k jednej doméne priradiť stovky, či dokonca tisíce IP adries. Tieto údaje sa aktualizujú každé tri minutý, a preto ak dôjde k zablokovaniu IP adresy/adries používaných napríklad pre spamovanie, je botnet schopný vymeniť celý zoznam za 3 minúty. Takto je neuveriteľne zložité zamedziť pôsobeniu botnetov. Tento istý spôsob sa používa aj k ochrane hniezda. Komunikácia prechádza cez rôzne ďalšie systémy, či zhluky a táto komunikácia sa neustále mení.

Využitie botnetov

Neraz som dostal otázku: „Načo vlastne útočníci vytvárajú botnety“. Primárne sú všetky botnety vytvárané za účelom finančného zisku. Sekundárne dôvody môžu byť všelijaké, no väčšinou je to skôr „bonus“. Málokto si dá tu prácu vytvoriť botnet len preto, aby inému znepríjemnil život. Vytvoriť botnet vyžaduje veľmi veľké znalosti, alebo dostatok peňazí, či dobré zdroje. Ja sa budem vo zvyšku článku zaoberať len prvým dôvodom, finančnej motivácie.

Botnety majú hneď niekoľko využití, ktoré sa dajú veľmi jednoducho a dobre speňažiť. Najčastejším spôsobom je prenájom botnetu, jeho častí, alebo funkcií. Takto si majitelia zabezpečujú obrovské príjmy, pretože ak majú infikovaných niekoľko desiatok, či stoviek tisíc počítačov, je možné prenajímať len ich určité časti a to hneď viacerým záujemcom. Vyťažiť botnet na 100% pri objemoch ktoré dnes dosahujú „komerčné“ botnety je pravdepodobne úplne nemožné. Najväčšiemu botnetu, Storm, sa v dobe jeho najväčšieho rozmachu pripisovala veľkosť až 50 miliónov infikovaných počítačov. Podľa odborníkov, ak by ste dali dokopy všetkých 500 superpočítačov vyrobených a používaných v skutočnej prevádzke, pokrylo by to približne 2 milióny bežných domácich počítačov. Storm teda dosahuje veľkosti približne 12,500 superpočítačov. Takáto kapacita je využiteľná prakticky na čokoľvek.

Druhým spôsobom využitia botnetu je primárne pre majiteľa, ktorý takto najčastejšie získava citlivé údaje a informácie z počítačov obetí. Ak sa útočníkovi podarí infikovať spoločnosť, je možné, že sa dostane k informáciám, ktoré mu môžu priniesť závratný zisk, ak ich správne využije, ako napríklad na burze. Neraz sa snaží útočník dostať k bankovým účtom obetí, z ktorých potom čerpá prostriedky, alebo ich predáva na čiernom trhu.

DDoS

Čo je to vlastne DDoS?
DDoS (Distributed denial of service) je metóda, kedy útočník zahltí svoju obeť obrovským množstvom požiadaviek. To má väčšinou za následok zahltenie a následný pád systému. Pre tento útok sa využíva väčšinou obrovské množstvo nezávislých počítačov, ktoré sú infikované nebezpečným kódom, ako napríklad trójskym koňom, vírusom alebo iným. Takto útočník získa prístup k obrovskému množstvu infikovaných počítačov, ktoré sa nazývajú zombie. Tieto počítače systematicky zasielajú množstvo požiadaviek na vybranú obeť. Medzi najznámejšie a najúspešnejšie patria štyri typy útokov. Každý z nich si osobitne rozoberieme a popíšeme.

UDP flood: Najmenej deštruktívny
UDP flood je jeden z najzákladnejších útokov DDoSom. Pri UDP sa väčšinou posielajú jednosmerne požiadavky na obeť, kedy sa neočakáva spätná väzba a packety (požiadavky) môžu doraziť v ľubovoľnom poradí. Tento útok je väčšinou zameraný na zahltenie konektivity, čo znamená úplné vyradenie dostupnosti na internete. Je to asi najmenej deštruktívny útok zo štvorice a v prípade menšieho počtu je celkom dobre odfiltrovateľný bežným firewallom, vo väčšsom rozsahu - presahujúcom možnosti internetového pripojenia cieľového serveru - môže obeť požiadať o filtrovanie u svojho upstream providera (poskytovateľa konektivity). Tento útok vyžaduje spoofovanie (falšovanie) IP adries, preto je ochrana filtráciou zdrojových adries nepoužiteľná.
V tejto dobe už hádam všetci provideri majú nastavené anti-spoof filtre, ktoré obmedzia útočníka na falšovanie IP adries len z jednej siete. Skrýva sa teda umiestnenie infikovaného počítača, ale obeť už môže informovať prevádzkovateľa siete a požiadať ho o prekontrolovanie činnosti v jeho sieti. Veľmi podobne funguje aj ICMP flood útok, ktorý má rovnaké vlastnosti ako UDP flood a aj rovnaký spôsob ochrany.

TCP Syn Flood: Útočí na hardvérové limity
Podľa charakteristiky TCP musí každá správna požiadavka prebiehať v troch krokoch. Počítač užívateľa, ktorý sa chce pripojiť k serveru, pošle v prvom kroku požiadavku SYN (synchronizácia) a čaká na odpoveď serveru. Ten na zdrojovú IP adresu (odkiaľ prišla požiadavka) pošle naspať odpoveď v podobe SYN/ACK a čaká na spätnú reakciu. V prípade úspešného prijatia používateľom zašle spätne odpoveď ACK/FIN a tým sa vytvorí stabilné spojenie medzi serverom a klientským počítačom. Tento proces sa nazýva „three-way handshake“, vo voľnom preklade trojcestné podanie ruky.

V prípade Syn Flood útoku pošle zombie počítač prvú požiadavku na server SYN, ale s falošnou (spoofed) IP adresou. Opäť je potrebné falšovať IP adresu. Server po jej prijatí pošle na túto falošnú adresu požiadavku na overenie, teda SYN/ACK, avšak odpovede sa nedočká. A tak stále vyčkáva na odpoveď, aby mohol dokončiť toto „napoly otvorené“ spojenie, čo môže trvať aj niekoľko minút (záleží od nastavenia serveru a firewallu). Takýmto spôsobom je možné otvárať spojenia dovtedy, kým sa s nimi obeť nedokáže vysporiadať.

Ako ochrana sa dnes často používa firewall s nainštalovaným TCP proxy serverom, ktorý prijíma a vyhodnocuje všetky TCP spojenia smerované na server a overuje ich pravosť. Ak sú korektné, prepustí ich na server, v opačnom prípade ich zahodí. Týmto sa snaží odľahčovať cieľový server. Takáto ochrana je oveľa účinnejšia, než v prípade, že by sa o požiadavky staral priamo server. Útok je väčšinou používaný ako útok na hardvérové limity firewallov, routerov či serverov.

DC++ flood: Patrí k najlepším
Veľmi zákerný typ útoku, využívajúci chybu vo výmennom systéme tejto populárnej P2P siete. Tento útok patrí k jednému z najdeštruktívnejších, jeho filtrácia je veľmi obtiažna. Útok spočíva vo využití chyby v DC++ huboch, ktoré mu umožňujú, aby pri pripojení prezentoval svoju IP adresu ako IP adresu obete. Vďaka tomu je obeť zahltená množstvami požiadaviek od hubu a zároveň od každého užívateľa, ktorý je na neho pripojený.

V prípade použitia väčšieho množstva veľkých hubov je tento útok masívny a úplne deštruktívny. Patrí k tým najzložitejším z pohľadu ochrany pred ním a zároveň k najlepším z pohľadu efektivity tohto útoku.

HTTP flood: Najzákernejší
Tento útok je najjednoduchší zo štvorice útokov. V prípade profesionálneho vykonania (stáva sa aj najzložitejším) je však najzákernejši a obrana proti nemu je takmer nemožná. Útočník sa pripája na webové sídlo pomocou reálnych IP adries infikovaných strojov, nepoužíva sa ich falšovanie (spoofovanie). Server je zahlcovaný obrovským množstvom požiadaviek, ktoré sú pre server aj firewall z hľadiska pripojenia úplne korektné, preto ho nie je možné rozoznať od skutočných požiadaviek. V malom množstve dokážu pomôcť blacklisty (zoznamy podozrivých IP adries).
Pri tomto útoku môže byť vynaliezavosť útočníka veľká. Ak by napríklad útočil na web, ktorý v určitých miestach pristupuje k veľkej databáze údajov, môže útočník posielať neustále požiadavky práve na toto miesto a tak server vyradiť oveľa rýchlejšie. Vďaka tomu je tento útok najzákernejší a najdeštruktívnejší zo všetkých. Bežným spôsobom ochrany je zvyšovanie kapacity webového sídla (farmy), čo sa nedá donekonečna. Jedinou ochranou tak zostáva analýza paketov.

Ochrana proti DDoSu
Pozrime sa teraz na ochranu proti uvedeným štyrom doteraz najpoužívanejším spôsobom útoku DDoSom. Proti všetkým útokom sa dá chrániť len do určitej miery. Proti silným útokom je žiaľ každá ochrana neúčinná.

Štandardnou ochranou proti DDoSu sú správne nastavenia serveru či klientskej stanice. Samozrejmosťou je kvalitné zariadenie ako router a firewall. Tým sa dá do určitej miery predísť útokom typov UDP flood, ICMP flood a TCP flood. Dokážu zneškodniť niekoľko tisíc zombie počítačov.

Útok zahltením webového servera sa ani dobrým routerom či firewallom odchytiť nedá. Zostáva jediná možnosť - analýza paketov (požiadaviek). Špičkou na trhu je spoločnosť Cisco so svojím produktom Guard. Keďže útočí stroj, je každá požiadavka - nech vyzerá akokoľvek náhodne - vygenerovaná a má svoj vzor. Guard využíva tento fakt a pri analýze každej požiadavky na server hľadá nejaký vzorec. Ak ho objaví, IP adresu zablokuje. Takáto ochrana má úspešnosť 96% až 98%, v závislosti od kvality útoku a zložitosti vzorca pre filtráciu.

Guard sa pri prvom nasadení na novú sieť (napríklad housing) zapne do tzv. Learning módu - stavu učenia sa. V tomto štádiu nesmú ísť na sieť žiadne útoky. Guard počas tohto módu analyzuje bežnú dátovú prevádzku (traffic) a učí sa ju rozpoznávať. Tento mód trvá okolo 24 hodín. Následne sa prepne do tzv. Protekčného módu (chránenie), kedy si už „plní svoje povinnosti“ a analyzuje prevádzku za účelom filtrovania.

Guard sa skladá z dvoch častí:

• Cisco Anomaly Detector
• Cisco Guard

Detector by sa podľa topológie siete mal umiestniť čo najbližšie webovej farme, zatiaľ čo Guard naopak čo najďalej. Detector dátovú prevádzku analyzuje, Guard ju následne filtruje. Takto je zabezpečená ochrana pred škodlivou premávkou. Ako doplňujúce riešenie existuje zariadenie od firmy Arbor Networks, ktoré funguje rovnako, ako Cisco Analyzer (detector), spolupracuje s Guardom a takto chráni sieť. Toto zariadenie je zapojené kdekoľvek v sieti a komunikuje s routermi, pričom sleduje netflow štatistiku a na jej základe dokáže (za pomoci Guardu) filtrovať väčšinu zbytočnej premávky v sieti. Vo veľkej sieti dokáže odfiltrovať až 30 % zbytočnej premávky a tak šetrí náklady na zbytočne rýchle linky, ktoré v skutočnosti nie sú potrebné. Táto technológia stojí pre svoju výnimočnosť na trhu milióny korún.

Ďalším spôsobom ochrany je rozkladanie dátového prenosu medzi niekoľko geograficky odlišne umiestnených datacentier (CDN), čím sa umožňuje pripájať klientov z okolia na najbližší mirror (zrkadliaci) server. Tým sa šetrí nielen na šírke linky a dátovom prenose, ale aj na veľkosti serverov, ktoré musia spracovávať požiadavky. Týmto spôsobom je možné rozdeliť útok, spolu so skutočným dátovým prenosom na niekoľko menších častí a ľahšie ich filtrovať. Tento sposôb je využívaný množstvom spoločností, medzi ktoré patrí napríklad Microsoft i Google.

DDoS v praxi: Novodobý vydierateľ
DDoS sa stal novodobým vydieracím a deštruktívnym nástrojom internetu. Pri jeho bežných veľkostiach niekoľko desiatok tisíc infikovaných počítačov dokáže vyradiť zo siete v podstate akýkoľvek server alebo celé housingy, či dokonca zahltiť konektivitu ISP. Takto dokáže napáchať miliónové škody, čo v konkurenčnom boji môže znamenať zánik.

Jednoduchý príklad
Predstavte si, že existujú dva elektronické obchody v jednej krajine, ktoré predávajú rovnaký sortiment za veľmi podobné ceny. Jeden z obchodníkov sa rozhodne „prenajať“ si botnet a zahltí konkurenciu na niekoľko dní či dokonca týždňov. Samozrejme, že by to pre neho znamenalo obrovské navýšenie ziskov a pre druhého obrovskú straty dôvery, klientov a možno úplny zánik.

Prenájom takýchto botnetov sa pohybuje v tisíckach dolárov, avšak zisky môžu byť mnohonásobné a dokázateľnosť v podstate nulová, keďže napadnuté počítače sú vo vlastníctve osôb neznalých nákazi v ich počítači. Títo užívatelia nemajú často vôbec potuchy o svojej nákaze ani po začatí útoku, pretože pakety sú malé a teda ich neobmedzujú pri bežnom využívaní pripojenia, avšak na cieli pri veľkom množstve páchajú obrovské škody. Takto útočník získa obrovské prostriedky v pohodlí domova a disponuje najväčšou silou, proti ktorej je ochrana neuveriteľne zložitá a finančne náročná nielen na zariadenie, ale aj na odborníkov, ktorí musia celý útok sledovať a prispôsobovať mu ochranu siete.

Určite zaujímavou informáciou je, koľko infikovaných počítačov treba, aby dosiahli určitú silu. Za predpokladu, že chce útočnik udržat botnet čo najdlhšie „pri živote“ - teda nechce, aby majiteľ infikovanej stanice zistil, že sa niečo deje - je nutné na asi 2 Gbit/s približne 10 000 infikovaných počítačov.

Spam

So spamom sa pravdepodobne stretol každý, kto vlastní poštovú schránku, či už emailovú, alebo tú na listy. Pod slovom spam sa myslí nevyžiadaná pošta. Spam je fantastický biznis. Spammeri na ňom ročne zarábajú milióny EURO ročne a ich zisky neustále stúpajú. Dnes sa predpokladá, že za 85% svetového spamu je zodpovedných 6 najväčších svetových botnetov. Práve spam je najponukánješou a najpredávanejšou službou od tvorcov botnetov vôbec. Mnoho tvorcov botnetov využíva svoju sieť na propagáciu vlastných produktov, teda ponúkajú vlastný botnet na prenájom pre rôzne akcie, o ktoré má potencionálny zákazník záujem.

Najčastejšie prijímaný spam spadá do niektorej z týchto kategórií:

• Ponuka medicínskych produktov a služieb (najčastejšie predaj pilulie): 21%
• Vzdelanie: 11.8%
• Reklama na internetové služby: 9.5%
• Počítačová kriminalita (phishing): 9.55%
• Predaj warezu (softvér): 7.4%

Výsledky sa však menia každý mesiac a tak je nemožné presne určiť najviac preferovanú kategóriu. V posledných týždňoch sa tri botnety postarali o dominanciu ponúk na zlepšenie sexuálnej výkonnosti. Tie momentálne tvoria viac ako 35% všetkého spamu na internete.

Botnety sú využívané na distribúciu spamu. Keďže sa vo svete uchytili tzv. blacklisty (zoznamy obsahujúce ip adresy, ktoré posielajú masívne spam), sú botnety tým najlepším distribučným prostriedkom. Keď botnet disponuje niekoľkými státisícami zombie počítačov, ktoré sa neustále dopĺňajú o nové, je prakticky nemožné zastaviť šírenie spamu bez toho, aby boli majitelia zatknutí.

Jedna zaujímavosť. Slovo spam pochádza z jedného dielu seriálu Monty Python, ktorý sa odohráva v reštavrácii, kde si dvaja zákazníci snažia objednať raňajky. Raňajkové menu však obsahuje 95% jedál pozostávajúcich zo „Spamu“. To viedlo odborníkov (a hlavne fanúšikov tohoto seriálu) k tomu, aby takto pomenovali nevyžiadanú poštu.

Phishing

Úzko so spamom súvisí aj phising. Ten sa práve najčastejšie šíri za pomoci spamu. Slovom phishing sa označuje praktika, pri ktorej sa útočník snaží vylákať z obete citlivé informácie, ako prihlasovacie údaje k rôznym stránkám, bankovým účtom, informácie o platobnej karte, atď. Phishing, aj napriek tomu, že si mnohí myslia opak, nie je vôbec nová záležitosť. Prvý krát bol phishing popísaný už v roku 1987 skupinou Interex. Prvá zmienka o pomenovaní týchto praktík ako phishing sa objavila 2. Januára 1996 v skupine Usenet (decentralizovaná diskusná skupina), no výraz sa pravdepodobne objavil o niečo skorej v tlačenom vydaní magazínu 2600.

Phishing sa vyvíjal zároveň s ochranami, ktoré vznikali na obranu proti nemu. Dnes sú techniky veľmi prepracované. Tie, ktoré využívajú botnety som popísal vyššie v komunikácii botnetov. Táto technika sa nazýva fast-flux a je v poslednej dobe veľmi častá. Oproti bežnému phishingu za pomoci spamu má jednu výhodu. Obeť často nedokáže rozpoznať, že sa jedná o falošnú stránku, keďže na tú podvodnú bola navigovaná po zadaní patričnej adresy do prehliadača, ktorý ju nikam nepresmeroval. Táto url je priradená k podvodnej stránke a preto úspešnosť týchto útokov sa pohybuje v desiatkách percent.

Prenájom strojového času

Veľmi výnosný môže byť aj prenájom strojového času. Pod strojovým časom sa mýslí prenájom kapacít zombie počítačov. Tieto počítače môžu vykonávať najrozličnejšie úlohy, ako napríklad „lámanie“ obrázkov captcha. Táto služba je veľmi vyhľadávaná, hlavne na „lámanie“ captchy do verejných mailových služieb, ako je napríklad Gmail. Prečo spameri vyhľadávajú free webmailové služby a prečo vynakladajú tvorcovia botnetov toľko úsilia, aby mohli vytvoriť automatizovaný systém pre registráciu do free webmailov? Dôvodov je hneď niekoľko. V prvom rade, vysoká anonymita. Vystopovať osobu, ktorá sa zaregistrovala napríklad na Gmaily je veľmi zložité a nehovoriac o tom, ak sa zaregistruje práve robot (malware) z napadnutého počítača obete. Potom je akékoľvek úsilie odhaliť páchateľa bezpredmetné. Ďalším dôvodom je, že Gmail nikdy nebude zablokovaný, alebo označený ako spam. Tzn., že každý email z Gmailu vám príde do vašej schránky, pretože nie je považovaný za spam. Treťou výhodou je obrovská masa používateľov. Je veľmi výhodne pre spamera používať server, ktorý je známy a populárny. V neposlednom rade je výhodou aplikačná kapacita populárnych webmailov. Je prakticky nepravdepodobné, že by Gmail “spadol” po masívnom rozosielaní miliónov emailov behom krátkej chvíľe. To je jeho štandard a je na to pripravený, tzn., že sa spamer môže schovať “v dave”. Potom je úspešnosť spamu ďaleko vyššia a tým aj zisky z neho. Za získanie jedného konta na portáloch ako je Gmail sú spameri ochotní zaplatiť až $3.

Ďalším príkladom môže byť lámanie hesiel. Ak má botnet implementovanú funkciu pre rozdeľovanie záťaže, získať heslo cracknutím hesla uloženého v md5 za pomoci bruteforce techniky môže byť na tak veľkej distribuovanej sieti otázka niekoľkých sekúnd, či minút. Vďaka tomu je možné získať prístup priamo do emailov, ktoré užívatelia použíjú napríklad na fórach, z ktorých je odcudzená datábaza. Takto je možné získať niekoľko miliónov účtov úplne jednoducho. Mnoho veľkých spoločností používa open-source systémy, ako napríklad spoločnosť NVIDIA (Invision Power Board) na ktorom je zaregistrovaných cez 85,000 užívateľov. Niektoré fóra poskytujúce warez majú aj cez pol milióna registrovaných užívateľov. Drvivá väčšina užívateľov na internete používa rovnaké heslo do emailovej schránky a aj napríklad na fórum, či iné weby. Takto je možné po dekryptovaní hesla získať prístup k užívateľov schránke a tú použiť pre spam, alebo pre získanie citlivých údajov (ako napríklad prístup k PayPal kontu).

Proxy

Ďalším spôsobom, ako speňažiť botnet, je poskytovať služby proxy. Proxy server vytvorený na počítači obete umožňuje ďalším záujemcov využívať jej linku. To je však minimálny benefit, pretože naprieč cez celý svet je akákoľvek linka dosť spomalená. Tým najdôležitejším benefitom je IP adresa, ktorú ma klient. Na internete existuje mnoho tzv. GEOIP služieb, ktoré dokážu na základe IP určiť lokáciu počítača v 98% prípadoch a to až na úroveň mesta. Ak majiteľ botnetu disponuje sieťou o niekoľkých desiatkách tisíc infikovaných počítačov, môže poskytnúť IP adresu prakticky z ktorejkoľvek časti sveta. Tieto proxy sú potom využívané na sprostredkovanie platieb odcudzenými platobnými kartami, bankovými, či inými účtami. Prakticky sú používané na rozmanitú kriminálnu činnosť. Ak sa začne ten ktorý podvod vyšetrovať, polícia skončí u infikovaného počítača obete, ktorá o týchto praktikách nemala ani najmenšieho tušenia. Cena jedného proxy sa môže pohybovať od $0.1 až po $3. Najčastejšie záleží na tom, ako moc špecifické proxy vyžadujete. Existuje mnoho služieb, ktoré majú celý systém úplne zautomatizovaný a mesačne sú schopné zarobiť niekoľko stoviek tisíc EURO.

Odcudzovanie citlivých údajov

Táto možnosť je väčšinou výhradne v réžii majiteľa botnetu. Ten sa prehľadávaním počítačov obetí, sniffovaním („odpočúvanie“) trafficu, či loggovaním užívateľskej aktivity snaží získať citlivé údaje, ktoré by mohol útočník zúžitkovať. Známe sú prípady, kedy sa útočník vyhrážal zverejnením citlivých údajov, ak nedostane „výkupné“. Taktiež sa veľmi často zneužívajú odcudzené kontá, či už tie bankové, alebo jednotlivých služieb, ako napríklad RapidShare. Tie sú potom za zlomkovú cenu predávané na čiernom trhu vo veľkom. Nie tak dávno sa stal prípad, keď sa Ukrainskému hackerovi podarilo preniknúť do siete veľkej zdravotníckej spoločnosti, ktorej odcudzil finančné výkazy, vďaka ktorým zainvestoval na burze a zarobil štvrť milióna dolárov. Možností využitia citlivých informácií získaných od obetí je prakticky neobmedzené množstvo a je len na fantázii a šikovnosti útočnika, ako ich dokáže zneužiť vo svoj prospech. Taktiež sa veľmi často odcudzujú emailové adresy známych a priateľov, na ktoré sú následné rozposielané kópie vírusov.

Ako odhaliť botnet

Problematike botnetov sa venuje niekoľko desiatok spoločností, výskumníkov a univerzitných laboratórií po celom svete. Každý ponúka vlastné produkty, ktoré sa snažia zastaviť šírenie vírusov a tým aj botnetov vo svete. Vznikajú rôzne nástroje, ktoré sú dostupné aj bezplatne, a ktoré majú za úlohu monitorovať traffic. Ak sa v ňom objaví podozrivá komunikácia, ktorá by mohla patriť botnetu, užívateľ je na túto skutočnosť upozornený a informácia je zaslaná do spoločnosti. Autori botnetov sa však týmto praktikám prispôsobili a nové verzie najväčších botnetov majú kompletne šifrovanú komunikáciu, ktorá zamedzuje takémuto odhaleniu. V dnešnej dobe spoločnosť Microsoft eviduje viac ako 200,000 mutácií červa Storm, ktorý vytvára rovnomenný botnet. Tento fakt spolu s tým, že neustále pribúdajú neuveriteľne sofistikované botnety, posúva tvorcov botnetu o niekoľko mílových krokov pred ich prenasledovateľov. „Boj proti botnetom je zložitý, ale nie marný,“ vyhlásil Ralph Logan, výkonný riaditeľ projektu Honeynet. Ten práve v týchto dňoch, spoločne s katedrou Štatistiky a Počítačovej Vedy na Victoria University of Wellington, uvoľnil nástroj, pomocou ktorého je možné nájsť, identifikovať a analyzovať vírus, ako aj jeho celú komunikáciu s hniezdom. Vďaka tomuto nástroju sa projektu Honeynet poradilo odhaliť a analyzovať niekoľko desiatok tisíc vlákien (komunikačné vlákna medzi zombie počítačom a hniezdom) a niekoľko desiatok rozličných botnetov. Nájstroj je však hodný skôr do skúsených rúk a nie je práve najvhodnejší pre bežných užívateľov. Tí môžu využiť širokú ponuku dostupných riešení od mnohých známych, ale i menej známych spoločností. Dôležité je však snažiť sa používať ako vždy zdravý rozum a neotvárať akékoľvek prílohy emailov, ktoré sa vám zdajú podozrivé. Taktiež je vhodné mať zabezpečený a aktualizovaný OS a samozrejme správne nastavené aplikácie, hlavne prehliadač.

Botnety vo svete

Prvé botnety sa objavili už niekedy koncom 90-tych rokoch. Vtedy výskumníci z inštitútu SANS objavili vzdialene ovládaný systém na niekoľkých tisíckach počítačov s OS Windows. Tento systém nazvali robotmi, z čoho sa zakrátko vytvorilo skrátené slovo bot. Keďže bol škodlivý kód na počítačoch šifrovaný, výskumníkom sa nepodarilo objaviť jeho skutočný účel a ani žiadne ďalšie podrobnosti. O niekoľko mesiacov neskôr sa systém „zobudil“ a začal bez prestávky DDoS-ovať Amazon, eBay a ďalšie e-biznis portály po dobu jedného týždňa. Ďalšie roky sa botnety objavovali len sporadicky a boli tvorené skôr ako športový koníček, ktorým sa tvorcovia ukazovali vo svete. Toto všetko sa zmenilo v roku 2004, keď spoločnosť Symantec hlásila obrovský nárast malwaru tvoriaceho botnet. Rebríček top 50 malware vo svete tvorilo viac ako 10 takých, ktoré vytvárali botnety. Tie, napriek tomu, že infikovali statisíce počítačov po celom svete, nepredstavovali závažnú hrozbu, pretože anti-vírusové spoločnosti boli schopné s nimi celkom účinne bojovať.

Storm

Toto všetko zmenil nový vírus, nazývaný Peacomm, Nuware, Zhelatin, no dnes verne známi ako Storm. Jeho meno sa uchytilo po sérii spamu, vďaka ktorému sa šíril počiatkom roku 2007, a ktorého predmet obsahoval vetu „230 dead as storm batters Europe.“. Tento botnet sa stal predzvesťou príchodu nových, priam majstrovských kúskov, aké svet ešte nevidel. Jeho vlastnosti boli fascinujúce a výskumníci po celom svete sa nevedeli zhodnúť ani len na pôvode, čí zámere tohoto vírusu. Mnohí sa domnievali, že sa jedná o prácu niektorej zo spravodajských služieb. Po dvoch rokoch sa však podarilo výskumníkom vypátrať konekcie až do Ruska k niektorým jednotlivcom, ktorí sú pravdepodobne napojení na bývalých vysokých členov KGB.

Storm doslova zbúral hranice medzi jednotlivými typmi malwaru. Dnes poznáme niekoľko známych typov, ako vírus, trojan, či červ. Storm je však všetkým. Jeho najsilnejšou vlastnosťou je úplná decentralizácia siete, tak ako pri P2P sieťach.

Niekoľko hlavných vlastností Stormu:

• Decentralizovaná sieť cez distribuovanú hash tabuľku (DHT)
• Používanie fast-flux DNS (Double-Flux Service)
• Možnosť aktualizovať kód za behu (on the fly), polymorfizmus verzií
• Technika skrývanie kódu za pomoci rootkitov
• Využíva všetky možné prostriedky šírenia (spam, zraniteľnosti webov, systémov, atď.)
• Heterogénna deľba práce v rámci siete (umožňuje prideľovať určitým častiam botnetu rôzne úlohy)

Toto je len niekoľko najzaujímavejších vlastností, ktoré zo Stormu robia takmer nezničiteľný „stroj“ na peniaze. Napriek tomu sa vďaka úsiliu mnohých spoločností podarilo zastaviť vplyv šírenia tohoto vírusu. Autori sa však poučili zo svojich chýb a dnes je vo svete 6 veľkých hráčov, ktorý sú pripisovaný rovnakým autorom, aj keď sa názor jednotlivých výskumných spoločností v tejto otázke hodne líši.

Ďalšie botnety

Všetkých päť najväčších svetových botnetov má prakticky rovnaké vlastnosti ako Storm, akúrat že sú doplnené o ďaľšie, ktoré výrazne znižujú schopnosť ich vypátrania. Začiatkom marca publikovala spoločnosť Marshal štúdiu najväčších botnetov, ktoré sa podielajú na takmer 85% svetového spamu. Tomuto zoznamu kraľuje botnet s názvom Srizbi, ktorý má až neuveriteľný podiel 39%. Za ním nasleduje Rustock s 21% podielom, Mega-D s 9% podielom, Hacktool.spammer s 8% podielom, Pushdo so 6% podielom a niekdajší kráľ spamu, Storm s podielom len 2%. Tieto botnety denne pošlú až 100 miliard emailov! Podľa názoru niektorých svetových odborníkov sa však jedná o rovnakých tvorcov, alebo úzko spolupracujúce zločinecké skupiny, ktoré sa takto snažia rozptýliť pozornosť spoločností medzi niekoľko botnetov, čím ich udržia pri živote najdlhšie možnú dobu a neumožnia tak spoločnostiam zakročiť tak rapídne, ako v prípade Stormu. Pre majiteľov botnetov je najdoležitejšie udržať botnet čo najdlhšie „pri živote“, pretože len „živý“ botnet zarába peniaze. Zaujímavý botnet, označovaný ako MayDay, je dnes považovaný za to najhoršie, čo je možné v „džungli“ (internet) nájsť. Tento botnet má všetky vlastnosti Stormu a ostatných botnetov, naviac však dokáže komunikovať cez niekoľko protokolov a hlavne je schopný zistiť a využiť proxy, cez ktoré komunikuje väčšina veľkých spoločností a univerzít. Tento vírus zaplnil miesto tam, kde sa iný nevedel uchytiť kvôli „nehostinným“ podmienkam. Celý botnet je plne kryptovaný a to vrátane celej jeho komunikácie a preto je veľmi zložité získať akékoľvek hlbšie poznatky o jeho zámere, či spôsobe fungovania. Výskumníci zo spoločnosti Damballa sa domnievajú, že tento vírus bol vytvorený na mieru aby infikoval práve veľké spoločnosti a univerzity, kde má za úlohu získať citlivé informácie z napadnutých počítačov a sietí, v ktorých aktívne pôsobí.

Cena

Za akú sumu je možné získať jednotlivé služby a kde sa dajú zakúpiť? Všetky botnety sú poskytované pre „komerčné“ využitie spamerov a iným kriminálnym živlom, ktoré majú dostatok finančných prostriedkov. Každý botnet má iné ceny, no v priemere sa pohybujú asi takto.

• Spam: $10 za každých 10,000 odoslaných emailov, + $50 za poskytnutie emailových adries
• Prenájom strojového času: zatiaľ jediný botnet poskytuje tento druh služby, nepatrí medzi 6 velikánov
• cena za jednu hodinu je $150 za každých 5,000 počítačov
• cena za prelomenie captchy až do $3 kus
• cena za prelomenie zakryptovaného hesla až do $2 kus
• Proxy: $0.1 až $3 kus
• DDoS na určený cieľ: $10,000 tri dni, ceny sa však rapídne líšia podľa sily útoku
• Odcudzené informácie:
• Platobné karty: $0.5 až $15 (tzv. fullz, platobné karty obsahujúce SSN, DOB, často PIN)
• Bankové účty: od $25 po x (záleží na množstve finančných prostriedkov na účte)
• Osobné informácie: od $5

Ak by ste o tieto informácie mali záujem, museli by ste sa dostať na tzv. Black Market (čierny trh, určite poznáte z filmov, zoženiete zbrane, atď.). Tento čierny trh však funguje v „zákutiach“ internetu a namiesto zbraní strieľajúcich guľky tam môžete zakúpiť „zbrane“ umožňujúce likvidáciu konkurencie (DDoS) a mnoho iných ilegálnych, ale zaujímavých pomôcok, nástrojov a informácií (návody nevynímajúc).

Záver

Túto tému som vyčerpal tak, ako sa len dalo a pevne verím, že som vám odpovedal na všetky otázky, ktoré by ste si v súvislosti s botnetmi mohli položiť. Ako môžete vidieť, botnety sú dnes najmocnejšie nástroje používane teroristickými skupinami ako aj perfektne organizovanými zločineckými skupinami. Prístup k ním má ten, kto má dostatok peňazí a samozrejme dostatok známostí. Botnety sú dnes zaručene tou najväčšou hrozbou vyskutujúcou sa na internete. Tú však „vhodne“ dopĺňajú teenageri, ktorí sa čím ďalej tým ľahšie dostávajú k automatizovaným nástrojom, či návodom, vďaka ktorým sa im viac-menej úspešne darí pôsobiť na strane zločinu a zarábať veľké peniaze. V posledných mesiacoch sa neustále zvyšujú úspešné zaťahy voči nim, no tieto úspechy sú skutočne len kvapkou v mori, ktoré sa každým dňom neuveriteľne rozrastá.

Článok bol napísaný a publikovaný v PC Revue, resp. IT News.