Anatomia di un takedown di una botnet

7

Quindi Microsoft era parzialmente responsabile per aver rimosso la botnet Kelihos nel settembre 2011. Hanno usato una varietà di misure legali e tecniche per farlo. Non voglio entrare nella politica e nella legalità globali di quali misure legali hanno preso, ma da un punto di vista tecnico, cosa costituisce il toolchest di qualcuno quando stanno cercando di distruggere una botnet? Il set di strumenti deve essere piuttosto limitato a causa dei vari giocatori, potenzialmente non cooperativi.

Come domanda secondaria: Microsoft ha un vantaggio sulla guerra alle botnet semplicemente a causa della sua capacità di estrapolare l'aggiornamento della rimozione del software dannoso ogni mese?

    
posta logicalscope 24.01.2012 - 21:13
fonte

1 risposta

4

Prenderò una pugnalata a questa domanda riflettendo su varie cose che conosco. Non prendere questo come un consiglio da un professionista che lavora in questo settore o altro. Questo è scritto con quello che ho sentito riguardo le botnet in mente, non quello specifico. E quello che ho sentito potrebbe essere storico. Fondamentalmente, questa non è una grande risposta. Con queste cose in mente ...

In primo luogo, le botnet più tradizionali sono viste come tre entità da vari tipi di persone: il client, il master-client e il server. Il client va sulla vittima, il server emette i comandi e il master-client è solo un'interfaccia spiffy per gestire il server. Avere l'eseguibile sul computer della vittima come un server che consente a un client di connettersi e controllarlo è ciò che fanno molti "skid", ma è inutile nel 2012 a causa del fatto che i firewall decenti sono onnipresenti. Pertanto, le reti bot utilizzano un sistema di vari tipi che chiamano "reverse connection".

Quindi, se volessi chiudere una botnet, avresti colpito il server, uccidendo così la possibilità per il master-client di inviare comandi alle vittime. Sembra fantastico sulla carta, ma non così eccezionale quando vai ad applicarlo. Ad esempio, un sacco di botnet sono P2P, quindi non c'è un controllo centralizzato, o almeno non è facile da individuare. Alcuni possono rilevare quando un server è stato messo fuori uso e quindi avviarlo automaticamente altrove. Potresti avere server che gestiscono server che gestiscono server, ogni fase viene eseguita attraverso strati di mascheramento indiretto. Hai un'idea.

Molte botnet hanno funzionalità di aggiornamento. Cioè, il server può emettere aggiornamenti all'eseguibile del client su macchine infette. Questi aggiornamenti potrebbero avere nuovi modi per aggirare i nuovi scanner euristici, per esempio. Quindi, un modo per eliminare la botnet sarebbe ottenere il controllo del server e rilasciare un aggiornamento che sostituisce il codice del client infetto con un eseguibile vuoto su tutte le vittime. Solo un'idea ...

Ho letto un libro di Symantec qualche tempo fa (ho dimenticato il nome). Ha dettagliato un processo in cui le aziende anti-malware hanno macchine vulnerabili connesse a Internet puramente per essere infettate, così da poter verificare cosa stia circolando. Quindi forse una botnet fad potrebbe infettare una di queste macchine e quindi l'azienda può controllare da dove provengono i comandi. Naturalmente tali comandi passerebbero attraverso dozzine di strati di riferimento indiretto, ma è un inizio, giusto?

Ecco un'altra idea: forse tali aziende hanno una persona nelle aree in cui vengono sviluppate tali botnet. Forum privati e simili. I cracker amano vantarsi della loro prodezza, facendo bollire tutti i loro successi fino a un viaggio dell'ego. È piuttosto ovvio come ciò possa andare storto per loro.

Inoltre, hai diverse categorie di persone che scrivono queste cose cattive. I pastori, i ricercatori, ecc. Onestamente non penso che tutti si adattino a questo, ma è un buon modo di guardarlo. Quindi ci possono essere più responsabili, che complicano una rimozione permanente.

Ci vuole una persona con capacità tecniche per creare un nuovo aspetto che dozzine di script kiddies impiegano sul proprio malware come client botnet. RunPE, ad esempio, è stato probabilmente realizzato da un geek che non aveva intenzione di infettare, ma è stato poi utilizzato dai bambini poiché il geek ha fornito un'interfaccia facile da usare che i bambini potevano comprendere.

Quindi, quando trovi i responsabili di una botnet, senza dubbio molti dei contributori vengono rilasciati. Di chi incolpi principalmente? Qualcuno ha usato il codice e quel codice era abbastanza specifico da essere / solo / usato per scopi nefandi? O solo il programmatore principale? Non so per essere onesto.

Ci scusiamo per questo viaggio. Stavo solo riflettendo su come le botnet potrebbero essere rimosse in generale =)

EDIT: per rispondere alla seconda domanda, gli aggiornamenti di sicurezza possono rendere completamente inutilizzabile un pezzo di malware solo da una piccola modifica del sistema. Il malware è spesso altamente specifico per alcune impostazioni.

Windows è il principale bersaglio del malware, quindi Microsoft è il programma di aggiornamento ufficiale di questo significa che hanno un sacco di potere per sbarazzarsi dei client botnet. Non solo rendendo i client botnet inoperabili con le modifiche di sistema, ma anche aggiornando i loro software di sicurezza come Strumento di rimozione malware per per selezionare tali malware.

    
risposta data 25.01.2012 - 14:57
fonte

Leggi altre domande sui tag