Botnety - furtka do każdej sieci

Botnety to jedno najbardziej znaczących zagrożeń bezpieczeństwa sieci, z którym obecnie muszą zmagać się firmy.

Botnety zadomowiły się na dobre. Nie ma już miejsca na statycznie złośliwe oprogramowanie. Botnety z natury są dynamiczne i potrafią szybko zmieniać swoją formę w oparciu o polecenia cyberprzestępcy. Zestawy narzędzi do obsługi botów są dostępne w Internecie za niewygórowaną cenę od 50. dolarów a przynoszą przedsiębiorstwom straty rzędu milionów dolarów dzięki temu dając ludziom do myślenia do jak wielkich rozmiarów urósł problem.

Oszacowano, że aż do 25. wszystkich komputerów osobistych podłączonych do Internetu może być częścią botnetu. W 2011 roku ogłoszono, że TDL Botnet zainfekował ponad 4,5 miliona komputerów i zarażał około 100 000 komputerów dziennie. Co więcej, zaobserwowano na rynku, że niemal połowa specjalistów od bezpieczeństwa IT doświadcza dramatycznego wzrostu liczby ataków złośliwym oprogramowaniem.

Cyberprzestępcy nie są już wyizolowanymi amatorami. Należą do dobrze zorganizowanych grup przypominających komórki terrorystyczne - mają pieniądze, motywacje i cele. Mogą zaangażować mnóstwo pokładów inteligencji, czasu i zasobów w celu uruchomienia botnetów, których ataki mogą przynieść przedsiębiorstwom milionowe straty a im milionowe zyski.

Informacja stała się bowiem dla hakerów kopalnią złota, choć dane finansowe nie są jedynymi informacjami wartymi kradzieży. Można zaobserwować wzrost liczby hakerów szukających bardziej ogólnych informacji o kliencie niż szczegółowych danych jak billingi czy numery kart kredytowych. Takie informacje mogą być bardzo przydatne, gdyż umożliwiają przestępcy dostosowanie przyszłych ataków lub kampanii spamowych pod konkretną osobę, zwiększając prawdopodobieństwo sukcesu. Wystarczy sobie wyobrazić przykład wysłania 50. 000 emaili z propozycją zakupu jakiegoś produktu. Jeżeli tylko jedna osoba na tysiąc zamówi ten produkt, to już jest to 500 nowych zamówień. A teraz proszę wyobrazić sobie, jak wielki zysk może osiągnąć spamer z bazą 70 milionów adresów email.

Przykładem na to jak potężne mogą być botnety jest armia botnetów „Rustock”, generująca aż do 1. miliardów spamowych maili dziennie do czasu, gdy nie została zdezaktywowana z pomocą organów prawnych Stanów Zjednoczonych w marcu 2011.

Przedsiębiorstwa borykają się z istnym “zoo”, jeżeli chodzi o różnorodność rodzajów złośliwego oprogramowania, co skutkuje szeroką gamą zagrożeń bezpieczeństwa –. między innymi wirusy, robaki, konie Trojańskie, spyware, adware i botnety. To wszystko narzędzia używane przez cyberprzestępców przy tworzeniu Advanced Persistent Threats (APTs - zaawansowanych stałych zagrożeń), gdzie celem są konkretne osoby lub konkretne przedsiębiorstwa. Co więcej, botnety potrafią się transformować i symulować normalne aplikacje i wzorce ruchu, co sprawia, że rozwiązania bezpieczeństwa oparte o sygnatury (np. programy antywirusowe), mogą mieć problem z samodzielnym zwalczeniem ataku. Przedsiębiorstwa potrzebują wielowarstwowego podejścia, aby efektywnie niwelować zagrożenia wynikające z botnetów.

ZOBACZ: Kaspersky Internet Security - najskuteczniejsza ochrona twojego komputera!

Jest mnóstwo punktów, które można atakować aby przełamać zabezpieczenia danej organizacji. Są to między innymi błędy przeglądarek internetowych, telefony komórkowe, złośliwe załączniki czy pamięci przenośne. Ponadto wysyp aplikacji bazujących na technologii Web 2.0 oraz portale społecznościowe, które są używane jako normalne narzędzia pracy, dają hakerom spore możliwości do nakłonienia ofiary do kliknięcia na złośliwy link lub do prowadzenia tzw. "malversitingu" - wyświetlania złośliwych reklam na wiarygodnych stronach internetowych.

Jeżeli spojrzeć na ewolucję zagrożenia botami, to pierwszy bot, “GMBot”, nie był złośliwy. Tak naprawdę został stworzony w późnych latach 80. ubiegłego stulecia do symulowania żywej osoby w sesjach Internet Relay Chat (IRC). Jednak około roku 1999 okazało się, że boty zostały zaprojektowane w celu niesienia szkody. Zaraz później boty stawały się coraz bardziej złożone i w niektórych przypadkach osiągnęły status komercyjnego produktu. Przykładowo bot Zeus w 2006 r. został sprzedany za kilka tysięcy dolarów. W połowie roku 2011, kody źródłowe botów Zeus i SpyEye zostały wykradzione, co sprawiło, że te potężne narzędzia do tworzenia botnetów stały się dostępne praktycznie dla każdego, kto chce zbudować własnego wirusa.

Obecnie botnety są wykorzystywane przede wszystkim jako „tylne drzwi”. ataków na przedsiębiorstwa. Gdy haker przedostanie się już do sieci może działać po cichu poza zasięgiem „radarów” i wykraść tak wiele informacji, jak to tylko możliwe, dopóki jego obecność nie zostanie wykryta. Niestety ze względu na to, że boty są tak trudne do namierzenia, wiele firm nie zdaje sobie sprawy, że ich komputery są zainfekowane, a zespoły ds. bezpieczeństwa często nie posiadają odpowiedniej wiedzy odnośnie zagrożeń stwarzanych przez botnety.

W ciągu najbliższych lat botnety będą dalej ewoluować wykorzystując inżynierię społeczną, ataki zero-day, jak również dynamiczny rozwój urządzeń przenośnych i portali społecznościowych.

W przeszłości uważano, że większość popularnych botnetów działało jedynie na maszynach z systemem Windows - teraz to już nie jest prawdą. Systemy Linux i Mac nie są odporne. Nowe odmiany botnetów działają międzyplatformowo i rynek może się również spodziewać coraz większej liczby botów bazujących na Apple, Android i innych platformach mobilnych, komunikujących się z serwerami Command and Control (C&C) za pośrednictwem sieci 3. lub Wi-Fi.

Niepokojącym trendem jest używanie portali społecznościowych jako centrów command and control. Portale społecznościowe i usługi bazujące na technologii Web, takie jak IM, są wykorzystywane do wysyłania poleceń do programu zainstalowanego w sieci ofiary, co pozwala hakerowi przesyłać zaszyfrowane komendy. Używanie sieci społecznościowych takich jak Twitter, daje cyberprzestępcy możliwość szybkiego wtargnięcia i zręcznego zwinięcia interesu bez kosztów związanych z zarządzaniem całym serwerem.

Hakerzy dodatkowo wykorzystują nowe i oparte na inżynierii społecznej techniki w celu prowadzenia działań związanych z botnetami. Portale społecznościowe sprawiły, że łatwiej jest uzyskać informacje na temat życia prywatnego i zawodowego konkretnej osoby i stworzyć sposobność do wykorzystania ataków opartych o inżynierię społeczną, botnetów i APT. Badanie firmy Check Point wykazało, ze główną motywacją ataków inżynierii społecznej jest chęć zyskania korzyści finansowej (51%), a zaraz po tym znajduje się zdobycie dostępu do własności intelektualnej (46%), zyskane przewagi nad konkurencją (40%) i zemsta (14%). Jeden atak może kosztować firmę od 2. 000 do 100 000 dolarów.

We współczesnych realiach, hakerzy mogą w prosty sposób zdobyć narzędzia i zasoby niezbędne do przeprowadzenia skutecznych ataków botnetowych. Niestety jest to zabawa w kotka i myszkę. Za każdym razem, gdy antywirus wypuści nową sygnaturę pliku, autorzy złośliwego oprogramowania tworzą nowy wariant swojego dzieła. Na szczęście prawo, wielkie korporacje i eksperci ds. bezpieczeństwa podejmują poważne kroki w celu powstrzymania botów takich jak Rutstock. Dzięki dezaktywacji serwerów C&C, zarządzający botami tracą kontrolę nad wszystkimi „maszynami zombie”. co zapobiega dalszemu rozprzestrzenianiu infekcji. Teraz kiedy tysiące firm już padły ofiarą botów i APT, przedsiębiorstwa są odpowiedzialne za to, by powstrzymać ich dalsze rozpowszechnianie.

Źródło: Check Point