Hva er et botnet, også kalt Zombies?


botnet-illustrasjon

De siste årene har ulovlige botnett blitt kommersielle. Den som ønsker å sende ut uønsket reklame i stor skala eller angripe en nettressurs kan leie et allerede eksisterende botnett på det svarte markedet, på time- eller døgnbasis. Bots er i dag blitt en av de mest sofistikerte og mest populære former for Internettkriminalitet.

Hva er en bot?

En «bot» er en type ondsinnet kode som lar angriperen ta kontrollen over en datamaskin. De er også kjent som «webroboter» og de inngår som regel i et nettverk av infiserte maskiner, også kalt «botnett«, som er skapt av infiserte maskinen fra hele verden.

Siden en botinfisert datamaskin er underkastet sin mester, er det mange mennesker som kaller slike maskiner for «zombier«. De kriminelle som kontrollerer disse kalles bothyrder eller botmestere.

Noen botnett kan bestå av noen hundre eller noen tusen datamaskiner, men andre har både ti- og hundretusen «zombier» til sin disposisjon. Mange av disse datamaskinene er infiserte uten at eieren vet om det. Noen mulige symptomer? En bot kan få datamaskinen til å gå saktere, vise merkelige meldinger eller helt enkelt krasje.

Hvordan en bot fungerer?

Et botnett er et nettverk av datamaskiner som er blitt infisert av et datavirus eller trojanske hester. Disse maskinene kobler seg til en eller flere sentrale styrende noder der de får tildelt oppgaver. Oppgavene kan være å søke gjennom web-sider etter e-postadresser, sende ut uønsket søppelpost (spam) eller å utføre tjenestenektangrep mot utvalgte mål på internett. Et botnett kan bestå av tusentalls datamaskiner, ofte kalt zombier, spredd over hele verden og med eiere som ikke vet at maskinene er infiserte.

En botnet (også kjent som en zombie hær) er en rekke Internett-datamaskiner som, selv om deres eiere er klar over det, har blitt satt opp til å videresende sendinger (inkludert spam eller virus) til andre datamaskiner på Internett. Enhver slik datamaskin er referert til som en zombie – i praksis en datamaskin «robot» eller «bot» som serverer ønskene til noen mester spam eller virus opphavsmann. De fleste datamaskiner kompromittert på denne måten er hjemme-baserte. Ifølge en rapport fra russisk-baserte Kaspersky Labs, botnets – ikke spam, virus eller ormer – i dag utgjør den største trusselen til Internett. En rapport fra Symantec kom til en lignende konklusjon.

Datamaskiner som er rekuperert å tjenestegjøre i en zombie hær er ofte de som eiere ikke klarer å gi effektive brannmurer og andre sikringstiltak. Stadig flere hjemmebrukere har høy hastighet tilkoblinger for datamaskiner som kan være mangelfullt beskyttet. En zombie eller bot er ofte skapt gjennom en Internett-porten som har stått åpent og der en liten Trojaner kan stå for fremtidig aktivering. På et bestemt tidspunkt, kan zombiearmé «controller» slippe løs effektene av hæren ved å sende en enkel kommando, muligens fra en Internet Relay Channel (IRC) nettsted.

Datamaskinene som danner et botnet kan programmeres til å omdirigere sendingene til en bestemt datamaskin, for eksempel et webområde som kan være stengt av å måtte håndtere for mye trafikk – et distribuert denial-of-service (DDoS) angrep – eller, i av spam fordeling, til mange datamaskiner. Motivasjonen for en zombie master som skaper et DDoS angrep kan være å lamme en konkurrent. Motivasjonen for en zombie mester sende spam er i penger å hente. Begge er avhengige av ubeskyttede datamaskiner som kan gjøres om til zombier.

En botnet refererer til en type bot kjører på en IRC-nettverk som har blitt opprettet med en trojaner. Når en infisert datamaskin er på Internett kan boten starte opp en IRC-klient og koble til en IRC server. Den trojanske vil også ha blitt kodet til å gjøre bot delta i et bestemt praterom når den er tilkoblet. Flere bots kan deretter bli med i en kanaler og den personen som har gjort dem kan nå spam IRC chatterom, lansere et stort antall Denial of Service-angrep mot IRC-servere som forårsaker dem til å gå ned

Hvilken skade kan et botnet gjøre?

Når en bot har overtatt en datamaskin kan den utføre mange automatiske oppgaver, inkludert følgende;

Sende Stjele DoS (Denial of Service) «Clickfraud»
De sender
– spam
– virus
– spionprogrammer
De stjeler personlig og privat informasjon og kommuniserer denne informasjonen til sin mester:
– kredittkortnummer
– kontoutdrag
– annen sensitiv og personlig informasjon
Lanserer DoS-angrep mot spesielle mål. Kriminelle presser penger fra eiere av websider mot at eieren får tilbake kontrollen av siden.Ofte er målgruppen private datamaskinbrukere, helt enket som spenning for bothyrderen. Bedragere bruker bot til å skape webbasert reklamefakturering ved automatiske klikk på Internettannonser.

Hvordan brukes et botnet til kriminelle handlinge?

Under finner du en illustrasjon som prøver å vise hvordan et botnet oppstår og brukes til å sende ut epost spam.

Slik virker et botnet som er opprettet for å sende ut spam:
  1. Eieren av botnetet starter med å sende ut virus og ormer gjennom ulike kanaler – epost spam, Facebook gimmics, konkurranser på store nettsteder, gamle bakdører de har opprettet tidligere m.m. De infiserte maskinene bliessr så omkonfigurert av trojaneren slik at det ikke skal være lett for anti-virus programmer å oppdaget dem. Mange slår faktisk av hele anti-virus programmet eller i det minste fjerner muligheten til å oppdater anti-virusprogrammet. Normalt gjør de også prosessene som kjører i bakgrunnen usynlige i alle overvåkningsverktøy, f.eks. Task Manager i Windows.
  2. Den infiserte maskinen logger seg inn på en C&C server og er nå klar til å motta kommandoer fra eieren av botnettet,
  3. En spammer kjøper tilgang til botnettet fra en annen operatør for å sende ut spam via botnettet
  4. Eieren av botnettet sender nå 2 filer til zombiene som står og venter på neste oppgave. Den første inneholder teksten og bildene i epostmeldingen som skal sendes ut. Den andre inneholder en komma separert liste over alle epostadressene som meldingen skal sendes til. Så snart filene er lastet opp til zombien starter den å sende ut disse epostmeldingene i bakgrunnen uten at eieren av maskinen merker noe som helst. Zoombiene bruker de standard innstillingene som finnes på ditt skrivebord til å sende ut disse spam meldingene via din SMTP-tjeneste.

Types of attacks

  • Botnet brukes alltid i et DDoS angrep, Jo større båndbreddekraft dette botnettet har, jo flere C-klasser det er delt på og jo nærmere offeret de er, jo større gjennomslagskraft har de. Et kraftig botnet kan stoppe alle typer tjenester på en server, f.eks. webserveren, databaseserveren,inngående og utgående epost, innlogging til tjenester, telefonlinjer, datalinjer o.l.
  • Botnet brukes også ofte til å spre Adware reklame gjennom å erstadvertises a commercial offering actively and without the user’s permission or awareness, for example by replacing banner ads on web pages atte bannere og ads på alle nettsteder du besøker.
  • Botnet brukes også ofte til spredning av Spyware som skal samle inn sensitiv informasjon om deg. F.eks. personnummer, fødselsnummer, adresse, postnr og sted, land, bankkonto nummer, pinkode, utløpsdato, sikkerhetskode, brukernavn og passord til ulike tjenester o.l. informasjon.
  • Botnet brukes i stor utstrekning til utsendelse av SPAM, slik som beskrevet over.
  • Klikk svindel vil si at et botnet brukes til å besøke ulike nettsteder uten at eieren er klar over det. Alt skjer i bakgrunnen for å generere falsk trafikk til et nettsted for økonomisk vinning gjennom annonseinntekter e.l.
  • Fast flux er en DNS teknikk som botnet bruker for å skule phishing og malware leveranser bak en falsk front til en annen nettside.
  • Brute-force angrep på tjenester som f.eks. FTPSMTP and SSH.
  • Ormer. Rekruttering av flere zombier til botnettet.
  • ScarmeWare er skremselsforsøk hvor maskinen blir kapret og blir utsatt for utpressing av ulik slag.

Historisk liste av botnets

Date created Date dismantled Name Estimated no. of bots Spam capacity Aliases
2009 (May) 2010-Oct (partial) BredoLab 30,000,000[13] 3.6 billion/day Oficla
2008 (around) 2009-Dec Mariposa 12,000,000[14]  ?  
2008 (November)   Conficker 10,500,000+[15] 10 billion/day DownUp, DownAndUp, DownAdUp, Kido
2010 (around)   TDL4 4,500,000[16]  ? TDSS, Alureon
?   Zeus 3,600,000 (US only)[17] n/a Zbot, PRG, Wsnpoem, Gorhax, Kneber
2007 (Around)   Cutwail 1,500,000[18] 74 billion/day Pandex, Mutant (related to: Wigon, Pushdo)
2008 (Around)   Sality 1,000,000[19]  ? Sector, Kuku
2009 (Around) 2012-07-19 Grum 560,000[20] 39.9 billion/day Tedroo
?   Mega-D 509,000[21] 10 billion/day Ozdok
?   Kraken 495,000[22] 9 billion/day Kracken
2007 (March) 2008 (November) Srizbi 450,000[23] 60 billion/day Cbeplay, Exchanger
?   Lethic 260,000[24] 2 billion/day none
2004 (Early)   Bagle 230,000[24] 5.7 billion/day Beagle, Mitglieder, Lodeight
?   Bobax 185,000[24] 9 billion/day Bobic, Oderoor, Cotmonger, Hacktool.Spammer, Kraken
?   Torpig 180,000[25] n/a Sinowal, Anserin
?   Storm 160,000[26] 3 billion/day Nuwar, Peacomm, Zhelatin
2006 (Around) 2011 (March) Rustock 150,000[27] 30 billion/day RKRustok, Costrat
?   Donbot 125,000[28] 0.8 billion/day Buzus, Bachsoy
2012 (Around)   Chameleon 120,000 [29] n/a None
2008 (November) 2010 (March) Waledac 80,000[30] 1.5 billion/day Waled, Waledpak
?   Maazben 50,000[24] 0.5 billion/day None
?   Onewordsub 40,000[31] 1.8 billion/day ?
?   Gheg 30,000[24] 0.24 billion/day Tofsee, Mondera
?    ?? 20,000[31] 5 billion/day Loosky, Locksky
?   Wopla 20,000[31] 0.6 billion/day Pokier, Slogger, Cryptic
2008 (Around)   Asprox 15,000[32]  ? Danmec, Hydraflux
    Spamthru 12,000[31] 0.35 billion/day Spam-DComServ, Covesmer, Xmiler
2010 (January)   LowSec 11,000+[24] 0.5 billion/day LowSecurity, FreeMoney, Ring0.Tools
?   Xarvester 10,000[24] 0.15 billion/day Rlsloup, Pixoliz
2009 (August)   Festi  ? 2.25 billion/day Spamnost
2008 (Around)   Gumblar  ?  ? None
2007   Akbot 1,300,000[33]  ? None
2010 (Several: 2011, 2012) Kelihos 300,000+ 4 billion/day Hlux

 

Denne artikkelen inngår i IKTnytt.no sitt SIKKERHETS KURS for nybegynnere.

Artikkelserien skal gi deg en rask innføring i alle viktige begreper. I tillegg vil du lære hva du må gjøre for å sikre din datamaskin mot malware, spyware, botnets, trojanere, ormer og virus.

Er du allerede en viderekommende innen dette fagområdet anbefaler jeg at du går rett til arikkelen «Sikkerhetsguide».

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden – innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

– Kunnskapssenteret.com
– Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.

Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter – små og store – fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.

Fyll ut skjemaet under for å tipse oss om en nyhet.





Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift («emne»), med nærmere informasjon («melding»).

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 

Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: