WebGang/CityGang

Nieuws en na het nieuws
De cybercrime hub in Estland toont aan hoe georganiseerd cybercriminaliteit eraan toegaat, zie ook Botnet kaping.

Muziek:

Molotova – Klitzkov
Detras de la Cortina
EgonFisk – Perfex
Achtergrondmuziek bij Botnet kaping: Jorge Reyes.

Botnet kaping

Wetenschappers wisten te infiltreren in het netwerk van georganiseerde internet-misdaad. Die controleren “zombies”, computers van nietsvermoedende gebruikers die vanop afstand ingeschakeld kunnen worden om spam te versturen, gestolen data te transporteren, nieuwe computers aan te vallen om ze tot “zombie” te maken, enz. Op enkele dagen tijd zagen de onderzoekers duizelingwekkende hoeveelheden “gestolen” gegevens passeren op het netwerk van tienduizenden tot honderdduizenden computers. Wie denkt dat wetenschappelijk onderzoek saai is …

Veel van de huidige beveiligingsproblemen op het internet gaan terug tot botnets. Dat is de verzameling van computers langs waar de computermisdadigers hun handelingen uitvoeren. Veel voorkomend is het sturen van spam en het verzamelen van bank- en creditcardgegevens.

In het begin van 2009 namen onderzoekers van de universiteit van Santa Barbara in Californië in de VS, de controle van het botnet “Torpig” voor 10 dagen over.

Daarbij vonden ze meer dan 180.000 besmette computers en meer dan 70 Gigabyte aan verzamelde waardevolle gegevens.

Brett Stone-Gross, Marco Cova, Lorenzo Cavallaro, Bob Gilbert, Martin Szydlowski, Richard Kemmerer, Chris Kruegel en Giovanni Vigna deden het onderzoek en schreven er een rapport over.

Dat heet “Jouw botnet is mijn botnet: Analyse van de kaping van een botnet”
(Your Botnet is My Botnet: Analysis of a Botnet Takeover, April 2009)

Een van de vaststellingen was het verschil tussen het aantal “verdachte” zombies en het werkelijk aantal, na interpretatie van het verkeer. Er waren 1.2 miljoen IP-adressen betrokken in het verkeer, maar na analyse kon dat teruggebracht worden tot 180.000 besmette computers.

Het Torpig botnet is iets slimmer dan de traditionele systemen.
- Om computers via internet te besturen moeten die besmette computers weten naar welke bevelhebber ze moeten luisteren. – Als stukjes malafide software moeten gedownload worden moeten die ergens staan. Als een netwerk gecoordineerd wordt, moeten er bepaalde bekende knooppunten zijn.

Als in websites, mails of stukjes programma verwezen wordt naar een bepaalde site of server met “malware” is dat
- gemakkelijk te doorgronden
- gemakkelijk het verkeer ernaar te filteren om het te verhinderen
- gemakkelijk op te sporen welke sites of software ernaar verwijzen.

Daarom werken computercriminelen nu op een andere, moeilijker op te sporen manier.

De bots moeten in ieder geval hun commandoserver kunnen vinden. Maar als de commandoservers zelf ook geen vast adres hebben kunnen de bots die niet kennen. Daarom kregen de bots een soort “ping” systeem ingebouwd; ze kiezen een willekeurige naam van een server, en stellen hem een vraag. Als die server het juiste antwoord geeft, wordt hij beschouwd als een geldige “master”.

De onderzoekers wilden weten hoe groot een netwerk van besmette computers kan zijn, en infiltreerden in het netwerk door zelf een server op te zetten. Door te tellen hoeveel “clients” contact zoeke met de server krijgt men een idee van de grootte van de besmetting.

Ze moesten dus een servernaam kiezen die kans had om gecontacteerd te worden. De bots kiezen de willekeurige naam toch niet helemaal willekeurig merkten de onderzoekers. Analyse van de manier hoe een “willekeurige” naam gekozen wordt, gaf hen de kans om een waarschijnlijke naam te registreren.

Hoe werkt Torpig als besmetting?

De besmetting kan verlopen via een website die besmet is. De website kan echt zijn, maar zelf besmet zijn met kleine stukjes code die naar andere webservers verwijzen, waar extra stukken website worden opgehaald. Dat is niet alleen hmtl maar ook JavaScript, code die dus door je browser ongemerkt wordt afgehaald van een site en die de gaat proberen je computer binnen te geraken. Het kan beginnen met het besmetten van de browser, bv de active-X controls en andere plugins. Als het lukt zo’n onderdeel bevelen te geven wordt dat gebruikt een een executable of “exe” te downloaden en te starten. Deze executable is de eigenlijke “installer” van Torpig.

Hij breidt de bestandsbeheerder of filemanager uit met een extra DLL, m.a.w. besmet dus de filemanager, en kan vanaf dan werken vanuit de filemanager. Vanaf dan lijkt het voor de computer ook alsof alle handelingen komen van de normale gebruiker van de computer, en dus toegestaan zijn.

De installer installeert een nieuwe driver voor het gebruik van disks, dat zich rond de normale disk.sys heen nestelt. Vanaf dan controleert de installer alle verkeer naar de harde schijven tot op een voor het systeem onzichtbaar laag niveau, omdat het systeem alle informatie over de schijven krijgt van de besmette driver. Met deze nieuwe macht wordt ongemerkt de MBR overschreven. Dat is, laat ons zeggen, het allereerste gelezen spoor van de harde schijf van de computer. Het programma dat daar staat wordt eerst gestart en kan bepalen wat er vanaf dan gebeurt. De MBR wordt immers geladen nog voor Windows gestart is. De volgende keer dat de computer wordt gestart wordt allereerst de door de Mebroot rootkit besmette code gelezen. Als die voorbereiding klaar is wacht de installer een paar minuten en doet dan de computer spontaan herstarten. De gebruiker kijkt er waarschijnlijk niet eens van op, hij vloekt op zijn fotobewerkingsprogramma dat hij net aan het gebruiken was, en denkt eraan misschien wat extra geheugen bij te kopen.

De computer start nu, van de MBR, laadt de Mebroot code, en daarna het besturingssysteem; Windows is zich nergens van bewust en ziet niets abnormaals. Ondertussen gaat mebroot via het internet contact opnemen met een “Command and Control” server, afgekort C&C server. Mebroot haalt van die C&C server wat bijkomende modules af, en bewaart die voorlopig in een versleutelde vorm in de system32 directory. Daar liggen ze als koekoekseieren te wachten midden in het Windows systeem. Opdat ze niet als dusdanig herkend zouden worden, krijgen ze een naam die niet opvalt, er wordt een naam van andere bestaande bestanden gekozen, maar met een andere extentie. En omdat ze zeker niet zouden opvallen wordt ook de datum en de tijd hetzelfde gezet als de andere systeembestanden in die systeemmap. Alleen Mebroot weet ze nog zitten.

Mebroot heeft zich comfortabel in het systeem genesteld; nu kan het echte werk beginnen. Om de twee uur meldt Mebroot zich aan bij de C&C server om te kijken of er nieuwe stukjes software moeten afgehaald worden, of misschien bestaande stukjes vervangen moeten door een nieuwere versie. Zo kan de botmaster “updates” doen van de malware die hij verspreid heeft, zonder er zelf naar op zoek te moeten gaan. De zombie computer, onder controle van Mebroot, haalt zelf de updates af, automatisch. Voor de communicatie met de C&C server gebruikt Mebroot het http protocol; op het netwerk lijkt het dus of er een webpagina wordt opgevraagd. Mebroot en de C&C server spreken voor alle veiligheid in geheimschrift: zelfs wie hun communicatie afluistert wordt er niet wijs uit.

Welke stukjes software worden zoal afgehaald? De onderzoekers hebben drie voorbeelden. Het eerste is een DLL die worddt toegevoegd aan de bestandsbeheerder, internet explorer, FTP clients, e-mail programma’s, skype, ICQ en andere instant messengers, en zelfs het programma van het zwarte dos-venster; de command line.

Al die programma’s worden uitgebreid, en krijgen dus wat extra mogelijkheden, die de gebruiker echter niet ziet. Vanaf nu gaan al die programma’s hun gegevens doorsturen naar Mebroot. Mebroot leest die na en kijkt of er bruikbare stukken bijzitten. Favorieten zijn loginnamen en wachtwoorden en de bijhorende websites of diensten. Alle interessante stukjes worden door Mebroot zorgvuldig bewaard. Om de twintig minuten neemt Mebroot via http weer contact met de C&C server. Hij versleutelt op een snelle, eenvoudige manier de gegevens, en stuurt ze naar de C&C server. De server bedankt Mebroot met een bericht dat de data goed is aangekomen.

“Ben gaan vissen” (Gone phishing)

Als de Mebroot contact opneemt met C&C server om de data te uploaden, kan de server ook nieuwe instellingen sturen naar de machine. De server kan daarmee bv de frequentie van contactname veranderen van 20 minuten naar om het uur, of een tijdspanne die de server het beste past naargelang hoe druk hij het heeft. Daarbij stuurt hij ook een aantal adressen van backup-servers, voor als hijzelf niet bereikbaar is. Dat is allemaal nog van organisatorisch niveau, maar op dezelfde manier stuurt hij ook zijn inhoudelijke opdrachten. Zo kan de code om webpagina’s te vervalsen ook doorgestuurd worden.

Eerst stuurt het Torpig netwerk de adressen van voor hem bekende banksites door naar de “mebrooted-computers”. Hier komt de vergelijking met het vissen vandaan; dit is het haakje van de vislijn; nu is het enkel wachten tot de vis bijt. Als een webpagina van de bank opgevraagd wordt door de gebruiker, zal Mebroot dat herkennen. Mebroot gaat in de achtergrond contact maken met een “injection server”, en krijgt daarvan gegevens over de interessante pagina van die bank, namelijk meestal de login pagina. Dit wordt de “trigger page”. Mebroot let dan op of de gebruiker op die pagina komt. Op dat moment vraagt Mebroot wat extra stukjes webpagina om toe te voegen in de getoonde webpagina van de bank. De gebruiker krijgt dan bv in de banksite een formulier te zien met de vraag om even zijn loginnaam en wachtwoord te bevestigen. Als de gebruiker dat ingeeft wordt gewoon voortgewerkt, maar de gegevens worden door Mebroot wel opgeslagen natuurlijk. De eigenlijke website had helemaal niets gevraagd en blijft verder werken, waardoor de gebruiker niets merkt; de URL klopt, er staat een slotje onderaan dat een veilige pagina suggereert. Deze beveiligingsomzeiling wordt een “man in the middle attack” genoemd, of toegepast op browsers dus een “Man in the browser attack”.

Als je ziet wat met wat voor een impact gegevens kunnen doorgestuurd worden is de vergelijking van vissen met een vislijn nogal aan de voorzichtige kant. Misschien wordt beter vergeleken met sleepnetten die de bodem van de oceaan afschrapen.
De doorgestuurde gegevens die de onderzoekers zagen voorbijkomen bevatten onder meer:

FTP toegang: meer dan 12.000
Mailbox accounts: meer dan 54.000 (1)
Gegevens voor e-mail verzenden (SMTP accounts): meer dan 100.000 (2)
Gegevens voor e-mail ontvangst (POP accounts): meer dan 415.000 (2)
Webserver toegang: meer dan 411.000
Windows wachtwoorden: meer dan 1.235.000
E-mails: meer dan 1.258.000 (adressen om te spammen)
Webformulieren: meer dan 11.960.000

(1) : instellingen van e-mail programma’s met mail account, wachtwoord, servers enz. gehaald uit e-mail programma’s.
(2) : zoals uit het verkeer afgeleid

Molotova – Klitzkov
Detras de la Cortina
EgonFisk – Perfex