Botnet kaping (2): omvang en motief
Uitzending do 18:00 ** September 4th, 2009 by wim.webgang **
Opwarming:
Zonwering of zonnefilter rond de aarde, zeewater in de wolken spuiten, regulerende zonnenspiegel op de maan, … Zotte ideeën om de wereld te redden van de opwarming van de aarde? Nee, onderzoek van de UK Royal Society
Botnet kaping
Vorige week vertelden we over wetenschappers die wisten te infiltreren in een botnet. We spraken over mebroot (rootkit), torpig (botnet), C&C (command and control servers), botmaster, zombies enz.
Vandaag kijken we naar de omvang en de criminele bedoelingen van het opzet van een botnet.
En onderaan vind je ook een verklaring van gebruikte termen.
Wat kunnen de botmasters doen met deze gegevens?
————————————————
E-mail adressen kunnen gebruikt worden om spam naar te sturen natuurlijk. Er wordt aangenomen dat de eerste verspreiding van deze malware gebeurde via e-mail. Spam kan dus een manier zijn om te verspreiden.
Maar het torpig botnet is opgezet met een veel fijngevoeliger doel: geld verdienen aan gegevens. Gegevens die op een criminele zwarte markt geld waard zijn, zoals bankgegevens. Op tien dagen tijd verzamelde de server de gegevens van 8.310 financiële diensten, als bankaccounts en investerings en online verkoopssystemen. Daarin zitten ook 1.770 PayPall accounts.
Het grootste deel werd uit het internetverkeer afgeluisterd, maar 38 procent van deze gegevens werden gevonden door ze uit de browser te halen; meer bepaald de password manager waarin ze bewaard worden.
Een van de doelen van het botnet is het verzamelen van creditcard gegevens. Er werden meer dan 1600 kredietkaartnummers geteld in de gegevens, waarvan ongeveer de helft in de VS, en de rest uit meer dan 40 andere landen.
Creditcards ..p9
Hoe groot is het botnet?
————————
Bepalen hoe groot het botnet juist is, is niet eenvoudig. In eerste instantie kunnen de IP-adressen geteld worden: computers op het internet maken contact via het IP-adres, dat staat voor de internetverbinding. Hoeveel verschillende IP adressen maken een verbinding met de C&C server? Maar deze methoden is onnauwkeurig; er kunnen zowel teveel computers geteld worden, als te weinig. (p7)
Daarom werd meer in detail gekeken naar de communicatie tussen de besmette pc en de C&C server. In die communicatie wordt een “nid” nummer gebruikt, en dat lijkt een uniek nummer te zijn, samengesteld uit de serienummers van onderdelen van de computer en besturingssysteem. Op die manier konnen de onderzoekers uit het verkeer vaststellen dat er tussen januari en februari 2009 iets meer dan 180.000 verschillende “nid” waarden werden gebruikt. Er is een duidelijk verschil met de ip adressen die geteld werden: er waren meer dan 1.200.000 ip adressen betrokken bij de commmunicatie. De onderzoekers stelden vast dat de rotatie van ip adressen bij bepaalde providers heel erg hoog is, voor Europa bv in Italië en Duitsland. (Dat zorgt ervoor dat je geen servers kan draaien op zo’n internetaansluiting; wil je bv je webserver zelf thuis installeren moet je een duurdere internetaansluiting nemen met gegarandeerd vast ip adres). Alleen naar de ip adressen kijken zou dus de meeste besmettingen in Italië en Duitsland situeren, maar door te kijken naar de unieke identificatie van de “nid” kan dat bijgestuurd worden.
Engeland, Italië en Duitsland zijn tenslotte de landen met de meeste besmettingen. De concentratie-verschillen tussen landen kan erop wijzen dat de besmettingen vooral gebeurden via websites in de talen Italiaans, Duits en Engels.
- Bijkomend gevaar: openstaande poorten die als proxie kunnen gebruikt worden voor spam.
(vgl ontvoering: je laat niet het losgeld in je eigen brievenbus steken)
B.A.S.
(Botnet As a Service)
Terminologie
————
Botnet: netwerk van besmette computers, zombies of bots genoemd, dat ingeschakeld kan worden voor doelen van wie het netwerk cotroleert. (botmaster)
Bot: stukje software dat op een computer draait en een taak kan uitvoeren die vanop afstand gestuurd of bepaald kan worden. Daarvoor houdt het via het netwerk contact met een botnet.
Zombie: computer die door middel van binnengesmokkelde bot-software luistert bevelen van iemand anders dan de eigenaar. De eigenaar hoeft er niet van op de hoogte te zijn. De computer moet natuurlijk ingeschakeld zijn en een internetverbinding hebben om opdrachten van buitenaf te kunnen uitvoeren.
Malware: Verzamelnaam voor slechtbedoelde software die, eens binnengesmokkeld en aktief geworden in de computer, handelingen kan uitvoeren die de eigenaar van de computer niet wenst maar meestal niet weet.
Trojaans paard: Trojan horse, of dikwijls afgekort tot “trojan” is malware die computerinbrekers proberen binnen te smokkelen in een pc, bv door het als attachment bij e-mails te versturen, of door het te verbergen in een webpagina waar een gebruiker op terecht kan komen.
Een “trojan” treft de voorbereidingen om een computer vanop afstand te kunnen laten werken voor een buitenstaander; kan bv poorten openzetten, beveiligingen uitschakelen, enz.
C&C: Command and Control. Command and Control servers behoren tot de infrastructuur voor het beheer van een botnet. Wordt zo goed mogelijk afgeschermd door bv de functie regelmatig te wisselen van pc.
Domeinflux:
(? genereren van “willekeurige” domeinnamen dmv een formule?)
Drive-by-download:
(? besmette webserver die bezoekers besmet via de browser)
Mebroot: de rootkit die zich in de besmette computer nestelt.
Torpig: de verzamelnaam van de “malware” die bestaat uit o.m. de mebroot rootkit en het netwerk dat er gebruik van maakt.
DGA: Domain Generation Algorythm: stukje programma dat domeinnamen “samenstelt”.
Muziek:
Percipience Fiction
Mantecol