Vybudování botnetu v zajetí

Chcete-li chytit zločince, musíte někdy myslet jako zločinec.

Takže výzkumníci na stopě kybernetických podvodníků, kteří používají armády infikovaných počítačů, známých jako botnety, k rozesílání nevyžádaných e-mailů nebo k útokům na webové stránky, budují své vlastní botnety. Naštěstí se nový přístup testuje pomocí vysoce výkonného výpočetního clusteru, který je bezpečně izolován od internetu.

Nastavili jsme to, o čem jsme si mysleli, že bude nejblíže botnetu ve volné přírodě, říká Pierre-Marc Bureau, výzkumník z firmy pro počítačovou bezpečnost PŘÍPAD , součást projektu vedeného týmem na Ecole Polytechnique de Montreal se spolupracovníky z Nancy University ve Francii a Carlton University v Kanadě. Pokud je nám známo, je to první takový realistický experiment, říká.

Více než 3 000 kopií Windows XP bylo nainstalováno na clusteru 98 serverů v Ecole Polytechnique. Každý virtuální počítačový systém byl zabalen do softwaru, který jej propojoval s ostatními, jako by to byl samostatný počítač připojený k internetu nebo místní síti. Každý systém byl také infikován červem Waledac, kusem dnes již dobře pochopeného a do značné míry přemoženého softwaru, o kterém Microsoft odhadoval, že na začátku roku 2010 ovládal stovky tisíc počítačů a denně rozesílal 1,5 miliardy spamových zpráv.

Tým napodobil řídicí strukturu potřebnou k převzetí vedení botnetu Waledac, ve kterém centrální server pro příkazy a řízení posílá příkazy hrstce robotů, které pak tyto pokyny šíří do dalších strojů.

V posledních letech výzkumníci vyvinuli techniky, jak odposlouchávat živou komunikaci botnetů a dokonce do této komunikace vkládat zprávy. Vybudování kompletního botnetu v experimentálním prostředí však umožňuje mnohem více svobody, říká Bureau. Když experimentujete na živém botnetu, můžete vyvolat špatnou reakci jeho majitele, která poškodí infikované stroje, vysvětluje, a pak také potenciálně ovládáte stroje nevinných uživatelů, což má etické a právní problémy.

Mít vlastní botnet také poskytlo výzkumníkům ten luxus, že ho mohli pozorovat zevnitř i zvenčí, jak normálně fungoval nebo byl napaden někým, kdo se snaží deaktivovat síť, a také provést několik testů, které přinesly statisticky významné výsledky.

Bureau říká, že to byla výzva přesvědčit vlastníka clusteru v hodnotě kolem 1 milionu dolarů, že instalace malwaru na něj byl dobrý nápad.

Abychom mohli tento experiment spustit, museli jsme přijmout vážná opatření, abychom se ujistili, že nikdy neunikne, říká Bureau. Mnoho dalších počítačů na hostitelské univerzitě nepochybně používalo verze Windows podobné těm, které byly použity v experimentu. Cluster byl fyzicky odpojen od širší sítě a vše se do něj muselo načítat pomocí DVD spíše než připojením k jinému počítači, byť jen na krátkou dobu.

Jedním z výsledků experimentů byl pohled na problémy spojené s provozováním botnetu, říká Bureau. Odborníci si všimli, že šifrování používané k zabezpečení zpráv mezi jednotlivými roboty a serverem pro příkazy a řízení bylo slabé a předpokládali, že jeho návrháři jsou špatní kodéři. Ve skutečnosti to bylo pravděpodobně záměrné rozhodnutí o designu, říká Bureau. Zjistili jsme, že náš server pro velení a řízení je rychle zahlcen zátěží kryptografie. Pochopili jsme, že učinili určitá rozhodnutí kvůli vysokým nárokům velkého botnetu.

Tým také vyzkoušel útok Sybil, který zahrnuje přidání falešných botů do sítě, aby ovlivnili její chování. Experimenty ukázaly, že tento přístup by mohl botnetu úplně zabránit v rozesílání spamu.

Dřevo Thorsten , který vede výzkum botnetů a malwaru na Ruhr University Bochum v Německu, souhlasí s tím, že kaptivní botnet je užitečným výzkumným nástrojem. Je to kontrolované prostředí, kde můžete dělat cokoli, říká.

Holz byl součástí týmu, který vkládal zprávy do řídicí sítě červa Storm, rozšířeného předchůdce Waledacu, aby studoval jeho chování. Interpretace výsledků byla komplikována skutečností, že skupiny na Georgia Tech a University of California v San Diegu dělaly totéž. Všichni jsme viděli, jak se objevují zprávy, které byly aplikovány jinými výzkumnými skupinami, říká Holz. Stalo se to hřiště pro injekční strategie, a to zkomplikovalo naše výsledky.

Botnet v zajetí nikdy nebude přesně takový jako ten na svobodě ve volné přírodě, říká Holz. Nevýhodou je, že nemůžete napodobit všechno, říká. Typický botnet Waledac by obsahoval 50 000 - 100 000 infikovaných počítačů oproti 3 000 v experimentu. Chování skutečného botnetu by také utvářely vzorce provozu na internetu z jiných zdrojů, což simulace nezachytila.

Bureau říká, že doufá, že uvidí a provede více takových experimentů – například odhalí fungování méně známého malwaru. Nyní jsme poprvé dokázali, že je to možné, doufám, že zpřístupníme výpočetní prostředky, aby bylo možné udělat více.

skrýt

211service.com

Vybudování botnetu v zajetí

Nejlepší

Čína vytváří obrovský trh s uhlíkem – ale ne nijak zvlášť agresivní

Ghanské digitální dilema

Profitujte z Affinity Groups, jak v kampusu, tak mimo něj

Zynga si klade za cíl zvýšit úroveň sociálních her

Facebook získává krátkodobou paměť, aby vás udržela v komentářích

Kategorie

Populární Články