TTY / Tietoturvallisuuden jatkokurssi / Harjoitustyö 2011 / Valmis

Olli-Pekka Pyykkö

Botnet-verkkojen toimintaa

Johdanto

Botnet-verkoista melko lyhyessä ajassa kehittynyt vakava ongelma. Ensimmäiset botnet-verkot ilmestyivät 2000-luvun alussa ja alle 10 vuodessa niiden määrä sekä niiden hallisemien zombi-koneiden määrät ovat kasvaneet huimasti.

Botnet-verkot syntyvät virusten ja matojen avustuksella. Kun käyttäjä saa koneelleen tällaisen haittaohjelman, se joko sisältää tai hakee verkosta ohjelman, botin, jonka avulla botnet-verkon omistaja, tai paimentaja (englanniksi bot-herder), saa käyttäjän koneen hallintaansa. Botnet-verkkojen yleisimmät käyttökohteet ovat roskapostin lähetys ja hajautettujen palvelunestohyökkäysten suorittaminen. Yleensä botnet-verkon hallitaan käytetään standardeihin perustuvia verkkoprotokollia, kuten esimerkiksi IRC:tä ja HTTP:tä [1].

Alla tutustutaan kolmeen eri botnet-verkkoon, Mariposaan, Waledaciin ja Rustockiin. Käydään läpi hieman niiden toimintaa, kuinka laajalle ne levisivät eli montako konetta verkkoon kuului sekä tutustutaan niiden sulkemiseksi vaadittuihin toimiin.

Mariposa

Mariposa-botnet-verkko havaittiin joulukuussa 2008. Verkko suljettiin 23 joulukuuta 2009, tällöin verkko koostui 12,7 miljoonasta zombi-koneesta, mikä tekee siitä yhden suurimmista tunnetuista botnet-verkoista[2].

Mariposa leviämisestä vastasi Butterfly bot -niminen haittaohjelma. Kun haittaohjelma pääsi käyttäjän koneelle, ensin se tarkkaili käyttäjän toimia ja yritti kerätä salasanoja, pankkitunnuksia ja luottokorttitietoja. Tämän jälkeen ohjelma yritti levittää itseään käyttäen erilaisia keinoja: mm. Windows Messengerin ja P2P?-verkkojen kautta. Näiden alkutoimien jälkeen haittaohjelma otti yhteyttä botnet-verkon sisällä olevalle kontrollipalvelimelle. Tätä palvelinta käytettiin antamaan käskyjä koko botnet-verkolle.

Mariposa-botnet-verkon avulla tehtiin erilaisia hyökkäyksiä. On varmistettu, että verkko oli vastuussa palvelunestohyökkäyksistä, roskapostituksesta, henkilötietojen varastamisesta ja hakutulosten korvaamisesta selaimessa sellaisilla tuloksilla, joissa näytettiin mainoksia ja pop-up -mainoksia. Erilaisten hyökkäysten suuri määrä johtuu siitä, että botnet-verkkoa oli mahdollista vuokrata omiin käyttötarkoituksiinsa. Mariposan päällimmäisenä tarkoituksena oli siis rahallisen hyödyn hankkiminen botnet-verkon omistajille, DDP Team –ryhmälle (espanjaksi: Días de Pesadilla Team, englanniksi: Nightmare Days Team).[3]

Toukokuussa 2009 muodostettiin Mariposa Working Group. Mariposa Working Groupissa olivat osallisina tietoturvayhtiöt Panda Security ja Defence Intelligence, Georgia Tech Information Security Center sekä kansainvälisiä tietoturva-ammattilaisia ja viranomaistahoja. Tämän työryhmän tarkoituksena oli Mariposa-botnet-verkon analysointi ja sulkeminen. 23. joulukuuta 2009 työryhmä sai kaapattua hallintaansa botnet-verkon kontrollipalvelimet ja näin koko Mariposa-botnet-verkon. Botnet-verkon omistajat yrittivät saada verkon takaisin hallintaansa. Kontrollipalvelin yhteyksiin verkon omistajat käyttivät anonyymejä VPN-palveluja peittääkseen jälkensä, mutta yrittäessään saada verkon takasin ryhmän johtaja Florencio Carro Ruiz (”Netkairo”) teki kohtalokkaan virheen. Hän otti yhteyden palvelimeen suoraan kotikoneeltaan VPN:n käyttämisen sijaan. Espanjan poliisi pidätti Netkairon 3.2.2010 DDP Team –ryhmän epäiltynä johtajana. Espanja poliisi teki vielä kaksi muuta pidätystä; 24.2.2010 Jonathan Pazos Rivera (”Jonyloleante”) ja Juan Jose Bellido Rios (”Ostiator”) pidätettiin epäiltyinä DDP Team:in jäseninä. Butterfly bot –haittaohjelman luoja ”Iserdo” pidätettiin 28.7.2010 Slovenian poliisin toimesta.[3][4]

Ennen pidätystään DDP onnistui saamaan botnet-verkon hetkellisesti takaisin hallintaansa, mutta Mariposa Working Group kaappasin sen uudestaan muuttamalla DNS-tietoja. Tällöin zombie-koneet eivät enää saaneet yhteyttä kontrollipalvelimiin ja tutkijat saivat selville verkon laajuuden seuraamalla boteilta tulevia yhteydenottoja. [3]

Pidätysten yhteydessä takavarikoiduilta koneilta löytyi suuria määriä varastettuja tietoja muun muassa pankkitilitietoja, luottokorttitietoja, käyttäjätunnuksia ja salasanoja ja niin edelleen. Alustavien laskemien mukaan botnet-verkon aiheuttamat menetykset ja siivoamiskulut nousevat miljooniin dollareihin.

Waledac

Waledac-botnet-verkko, joka tunnettiin myös nimillä Waled ja Waledpak saatiin kaadettua vuoden 2010 maaliskuussa. Botnet-verkko keskittyi enimmäkseen roskapostittamiseen. Piiloutuakseen virustorjuntaohjelmistoilta Waledacin binäärikoodi sisälsi useita hyppykäskyjä ja muita debuggausta vaikeuttavia temppuja. Waledacin saastuttamat koneet toimivat kahdessa eri moodissa joko varapalvelimena välitysmoodissa tai asiakasohjelmana. Varapalvelimet auttoivat jakamaan palvelinlista ja haittaohjelma päivityksiä sekä toimintaohjeita asiakasohjelmille. Asiakasohjelmamoodissa olevat koneet olivat zombeja, jotka toteuttivat niille annettuja käskyjä.

Ennen verkon sulkemista se hallitsi 70000 - 90000 zombi-konetta, joita se käytti roskapostin lähettämiseen [5]. Waledac pystyi lähettämään päivässä noin 1,5 miljardia roskapostiviestiä, mikä vastaa noin yhden prosentin osuutta koko maailman roskapostin määrästä.

Waledacin pysäyttämiseen käytettiin huomattavasti erilaista tapaa kuin Mariposan suhteen. 25. helmikuuta 2010 Microsoft sai oikeuden määräyksellä katkaista väliaikaisesti yhteyden 277 domain-nimeltä, joita botnet-verkon kontrollipalvelimet käyttivät[6]. Näin saatiin lamautettua suurin osa botnet-verkkoa, mutta Waledac pystyi kommunikoimaan P2P?-yhteyden yli useiden botnet-solmujen kanssa, joten verkkoa ei oltu vielä saatu lopullisesti suljettua [7]. Syyskuun alussa 2010 Microsoft sai omistukseensa 276 Waledac-botnet-verkon kontrollipalvelimien käyttämää domain-nimeä ja näin verkko saatiin lopullisesti suljettua [8].

Rustock

Rustock-botnet-verkko, tunnettiin myös nimillä RKRustok ja Costrat, toimi vuodesta 2006 vuoden 2010 maaliskuuhun saakka. Arviot verkon zombi-koneiden määrät vaihtelevat suuresti; arvioita on esitetty 150000 saastuneesta koneesta 2,4 miljoonaan koneeseen. Rustock-botnet-verkko kasvoi pääasiallisesti sen itsensä lähettämien haitallisten sähköpostien kautta. Haitallinen sähköposti sisälsi troijalaisen, jonka avulla saastunut kone liitettiin osaksi botnet-verkkoa. Saastumisen jälkeen trojalainen yritti ottaa yhteyttä ainakin osaan botnet-verkon 2500 kontrollipalvelimesta. Piiloutuakseen virustorjuntaohjelmistoilta Rustock käytti rootkit-teknologioita. Se oli monimutkaisesti salattu, se esti debuggerien toiminnan ja usein se poisti itsensä, jos se havaitsi että sitä yritettiin vangita [9].

Niinkuin Waledacin myös Rustockin pääasiallista toimintaa oli roskapostin lähettäminen. Botnet-verkko kykeni lähettämään 30 miljardia roskapostiviestiä päivässä. Lähettäessään roskapostia 35% tapauksista Rustock salasi yhteyden TLS-salauksella, tarkoituksenaan piilottaa olemassa olonsa. Botnet-verkkoa voitiin käskeä myös suorittamaan hajautettuja palvelunestohyökkäyksiä.

Rustockin kontrollirakenne oli monitasoinen. Verkon paimentaja kommunikoi vain pienen komentotason kanssa. Tämä komentotaso kommunikoi sitten kontrollipalvelimien kanssa, jotka jakoivat ohjeet eteenpäin verkkoon kuuluville saastuneille koneille. Suurin osa jaetuista käskyistä oli roskapostipohjia esimerkiksi Viagra -mainoksia.

Rustock-botnet-verkko koki takaiskun vuonna 2008, kun palveluntarjoaja McColo? lakkautettiin, koska se palveluntarjoajana useimmille botnet-verkon kontrollipalvelimille. Sulkemisen jälkeen McColo? kuitenkin ilmestyi takaisin verkkoon 12 tunniksi, jonka aikana se siirsi tietoa Venäjällä sijaitseville palvelimille jopa 15 Mbit:n sekuntivauhtia; todennäköisesti sinne siirrettiin verkon kontrollitiedot [10]. Palveluntarjoaja McColon? sulkeminen vähensi hetkellisesti maailmanlaajuista roskapostin määrää, mutta 2009 tammi- ja heinäkuun välisenä aikana määrä kasvoi 60 prosentilla, josta 40 prosentin on arvioitu tulleen Rustock-verkkoon kuuluvilta zombi koneilta.

Rustockin toiminta saatiin lopetettua 16. maaliskuuta 2011. Aluksi ilmoitettiin, että se oli palveluntarjoajien ja ohjelmistotoimittajien yhteissaavutus. Seuraavana paljastettiin, että sulkemista kutsuttiin nimellä ”Operation b107” ja se oli Microsoftin, Yhdysvaltojen liittovaltion lainvalvontaviranomaisten, tietoturvayhtiö FireEye?:n ja Washingtonin yliopiston toteuttama. Domain-nimet, joita käytettiin kontrollipalvelimina suljettiin. Suljettiin myös yhteyksiä haittaohjelmaan kovakoodattuihin IP-osoiteisiin, jotka toimivat varajärjestelmänä palvelimien domain-nimille.

Rustockista vastuussa henkilöt eivät ole jääneet kiinni. Microsoft on luvannut 250000 dollarin palkkion tietoista, jotka johtavat näiden henkilöiden tunnistamiseen, pidätykseen ja tuomioon. Vaikka Rustockin kontrollipalvelimet on saatu suljettua, botnet-verkko ei ole kokonaan kuollut. Saastuneet koneet, joita ei syystä tai toisesta ole puhdistettu haittaohjelmasta, eivät enää lähetä roskapostia tai muutenkaan toimi, koska ne eivät saa palvelimilta ohjeita. On vaarana, että verkon omistajat saavat sen vielä jonkinlaisin keinoin takaisin haltuunsa ja jatkaa toimintaa ehkä jopa vieläkin vaarallisempana.

Yhteenveto

Botnet-verkkojen sulkemisen teknisten keinojen rinnalle on noussut toinen mahdollisuus; verkkojen vastaisen taistelun käyminen oikeudessa. Microsoftin kiinnostus botnet-verkkojen kaatamiseen voi vaikuttaa ensin hieman oudolta, mutta kun hieman ajattelee asiaa ja muistaa esimerkiksi kenen palvelu Hotmail on, niin kiinnostus on aivan luonnollista. Muutkin isot yritykset, joiden alaa ei ole tietoturvallisuus tai tietotekniikka ollenkaan, ovat kiinnostuneet botnet-verkkojen sulkemisesta. Lääkeyhtiö Pfizer tuki Microsoftia oikeudessa Operation b107:n aikana [9]. Sekin on helposti ymmärrettävissä, kun miettii kuinka usein törmää roskapostiin, joka mainostaa kyseisen lääkeyhtiön hyvin tunnetun lääkkeen piraattiversioita.

Jos botnet-verkkojen koot jatkavat kasvuaan tulevaisuudessa, se avaa hakkereille uudenlaisen mahdollisuuden tunkeutua järjestelmiin. He voivat ottaa yhteyttä botnet-verkon omistajiin ja vain kysyä sattuisiko heillä olemaan hallussaan tiettyjä kohteita, joista he ovat kiinnostuneet. Tämä säästäisi heiltä aikaa ja vaivaa, jos he pääsevät suoraan takaoven kautta koneeseen, kuin että he itse murtautuvat siihen. Myös älypuhelimien määrän kasvaessa huimaa vauhtia botnet-verkkojen tehtailijat saattavat kääntää katseensa tällaiseen liikkuvan botnet-verkon luomiseen.

Lähteet

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Yksityisyys
Miltä Tahallinen uhka
Missä Useita
Kuka Titu-ammattilainen
Milloin Muu
Miksi Muu
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 01 Dec 2011 - 23:13:22 - OlliPekkaPyykko?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback