Ved hele tiden at ændre på programfiler gør botnetbagmænd det umuligt at opdage alle skadelige programmer, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Amerikanske medier havde de store overskrifter fremme, da et botnet ved navn Kneber blev kendt tidligere på måneden.
Med en størrelse på godt 74.000 inficerede pc'er er det et botnet i mellemstørrelsen.
Alligevel er der nogle ting ved opdagelsen af Kneber, der gør det værd at kigge nærmere på.
Svært at opdage
Vi har at gøre med et botnet, der anvender Zeus-programmet, som også er kendt som Zbot. Det er et af de mest udbredte botnetprogrammer.
Kneber er altså bare "endnu et Zeus-botnet." Alligevel kan firmaet NetWitness, der opdagede det, fortælle, at under ti procent af antivirusprogrammer kunne genkende programmet og stoppe det.
Hvordan opdagede NetWitness så truslen? Det skete via en løbende overvågning af datatrafikken på en af firmaets kunders netværk.
Her fangede man en filoverførsel af et program, der så ud til at være gjort svært at gennemskue (såkaldt obfuscation). En nærmere analyse førte til opdagelsen af det Zeus-baserede botnet.
I gamle dage havde vi en overskuelig mængde skadelige programmer, der spredte sig i stort tal.
I dag har vi i stedet en ekstremt stor mængde forskellige programmer, der hver især er mindre udbredte. Årsagen er klar: Signaturbaserede antivirusprogrammer er nødt til at kende en trussel, før de kan beskytte mod den.
Signaturer er ikke nok
Så eksemplet med Kneber-udgaven af Zeus-programmet viser, at der er brug for andre metoder end signaturgenkendelse, når dagens trojanske heste skal fanges.
En mulighed er heuristiske algoritmer, der genkender skadelige programmers typiske opførsel i stedet for deres signatur. Den mulighed tilbyder stort set alle antivirusproducenter.
En anden mulighed er avanceret netværksovervågning, hvor man analyserer indholdet af de enkelte datapakker (deep packet inspection).
Sådan så der ud i botnettet
Da sikkerhedsfolkene først havde fået færten af botnettet, fandt de også frem til nogle data fra det. Ikke mindre end 75 gigabyte data, der i løbet af en måned var stjålet fra de inficerede pc'er.
En analyse af dataene viser, at knap halvdelen af de inficerede pc'er befinder sig i tre lande: Ægypten, Mexico og Saudi Arabien.
I alt er 196 forskellige lande repræsenteret på botnettet. Hvis nogen skulle være i tvivl om, at internetkriminalitet er verdensomspændende, er beviset her.
Dataene indeholdt brugernavne og passwords til en lang række tjenester. Der var flest til Facebook, Yahoo og Hi5.
Men man fandt også adgangskoder til interne virksomhedssystemer.
Endvidere var der 1.972 krypteringscertifikater blandt de stjålne data.
Samarbejde med Waledac?
En interessant detalje er, at over halvdelen af de inficerede pc'er foruden Zeus også var ramt af Waledac-programmet.
Det er et peer-to-peer-botnet, der især anvendes til udsendelse af spam.
NetWitness skriver i deres analyse, at det store sammenfald kunne tyde på, at der måske er et samarbejde mellem Kneber-bagmændene og dem, der styrer Waledac.
Hvem står bag?
Kneber-botnettet er fortsat aktivt. Vi ved ikke, hvem der står bag det.
Men vi har nogle spor at gå efter.
Det domæne, som kontrolserveren i botnettet tilhører, er oprettet af en person, der har oplyst adressen hilarykneber@yahoo.com.
Samme adresse er brugt ved oprettelsen af en række domæner, som bruges til at sprede skadelige programmer med.
De fleste af domænerne findes på IP-adresser i Kina, men også andre lande er repræsenteret.
Mailadressen har også været brugt til domæner, der er brugt til at rekruttere "muldyr" i forbindelse med overførsel af stjålne penge.
Mine råd
Alt i alt er rapporten om Kneber-botnettet værd at læse.
Den påpeger et centralt problem: Det er blevet stadig sværere at opdage, når pc'er bliver inficeret.
Mit råd til virksomheder og organisationer er derfor: Beskyt jer med de værktøjer, der er til rådighed. Og regn så med, at I alligevel bliver ramt.
Hav en plan klar for, hvordan I vil sikre, at I opdager en infektion, standser den, genskaber tabte data og forhindrer, at stjålne data kan misbruges.
Oprindelig offentliggjort på Computerworld Online fredag den 26. februar 2010
LINKS
White paper fra NetWitness om Kneber (kræver registrering)
Blogindlæg fra NetWitness
FAQ om Kneber af sikkerhedsforsker Dancho Danchev
Denne klumme på Computerworld Online