E’ sempre più facile sentir parlare di botnet, famigerate reti di computer infettati sotto il controllo della cyber-criminalità. In questo articolo cerco di mettere in risalto sinteticamente gli elementi che compongono una botnet, il suo funzionamento e le dinamiche di formazione.
Per chi fosse interessato a questo genere di articoli può controllare anche Anatomia di un Exploit e Cosa sono gli Zero Day?
Una botnet è una rete di computer sotto il controllo di un botnet master. Si articola in due componenti, la rete di computer infettati detti zombie o droni, e un pannello di controllo (Comando e Controllo, C&C) dove il botnet master può controllare tutti i computer contemporaneamente.
Altro vantaggio del C&C è che il botnet master non si deve collegare direttamente ai droni. L’unità di C&C funge da mediatore tra il botnet master e la botnet, aggiungendo uno strato di anonimato tra i droni e il botnet master. Botnet master che si collegherà al C&C tramite Tor, Proxy o altro metodo di anonimato. Come si può capire, risalire al proprietario di una botnet è assai arduo.
Vediamo in dettaglio i componenti di una botnet, i metodi di C&C, lo scopo e come nascono le botnet:
- Unità di Comando e Controllo (C&C). E’ un’interfaccia dalla quale il botnet master può lanciare comandi e ottenere informazioni sui droni. Da questa piattaforma centralizzata si controlla tutta la botnet. Il botnet master diventa il generale di un’armata assolutamente obbediente ed efficace.
- Zombie (o Droni). Sono i computer infettati. Ignari utenti consegnano involontariamente i propri PC ai botnet master. I PC così “arruolati” diventano soldati di un esercito ordinato e obbediente, in grado di portare a termine attività come attacchi (DDoS) o spionaggio (Keylogging).
L’Unità di Comando e Controllo può assumere diverse forme, ma le incarnazioni tipiche sono:
- Irc, Internet Relay Chat: è la forma più classica di interfaccia di controllo, la più antica forma di chat online, la più amata dagli hacker. Immaginate una chatroom con migliaia di utenti, che in realtà non sono utenti ma droni. Un comando scritto nella chat dal botnet master ottiene l’immediata mobilitazione di migliaia di zombi.
- Http: variante un po’ più scomoda di Irc ma con il vantaggio che in genere l’Http non viene filtrato dai firewall. In questo caso il botnet master si trova di fronte ad una pagina web (o meglio, una web application) dov’è in grado di controllare tutti gli aspetti della botnet e di ordinare attacchi, esattamente come nella chat Irc.
A cosa serve una botnet? Vediamo:
- Spam: i milioni di messaggi giornalieri che quotidianamente inondano Internet partono da droni.
- Proxy: le botnet possono essere utilizzate come piattaforme di bouncing tattico, utili per far rimbalzare le connessioni attraverso diversi droni prima di giungere sull’obiettivo. Rintracciare l’origine di un’intrusione dirottata attraverso questi nodi diventa un lavoro praticamente impossibile.
- Keylogger: I droni possono essere utilizzati per spiare le attività degli utenti. Documenti sensibili, dati finanziari, account di e-banking.
- DDoS: insieme allo spam l’attività principale di una botnet. Dall’interfacci di C&C il botnet master è in grado, con un solo comando, di scatenare migliaia di droni contro un singolo computer con il risultato di paralizzarne l’attività.
Come si forma, si sviluppa e si diffonde una botnet? Tramite worm:
- Per sua natura il worm è lo strumento utilizzato per formare una botnet. In genere un worm utilizza un vettore di infezione ad alta penetrazione come per esempio i bug dei servizi RPC di Windows, ma tenta anche strade più banali come l’invasione delle risorse condivise o semplici attacchi a dizionario contro condivisioni protette da password deboli. Una volta portata a termine l’infezione il computer viene trasformato indrone e passa sotto il controllo del botnet master. I worm possono anche essere piuttosto sofisticati, e possono utilizzare tecniche crittografiche per le comunicazioni con il C&C; possono auto-aggiornarsi con versioni più potenti e penetranti. Inoltre ilworm utilizza autonomamente il drone per scandagliare la rete in cerca di altre vittime da aggregare alla botnet.
Abbiamo visto come un botnet master controlli migliaia di computer infettati (droni) con una semplice interfaccia (C&C), interfaccia che gli garantisce anche un discreto livello di anonimato. Con questi strumenti egli è in grado di effettuare qualsiasi attività illecita possibile in rete. La formazione e diffusione di botnet è affidata ai worm, che si propagano autonomamente, infettano computer e li consegnano al botmaster.
Per sua natura una botnet è un’entità assai dinamica e volatile: ogni giorno nuovi droni si aggiungono, ma altri si perdono.
Le attività delle botnet sono monitorare da centrali di controspionaggio informatico (honeypot), che raccolgono intelligence sull’attività di queste “armi” digitali e tentano di fornire alle forze di contrasto le informazioni utili per poter neutralizzare la minaccia.
Gli utenti possono dare una mano al contrasto delle botnet con poche semplici azioni, come utilizzare un personal firewall e tenere aggiornati i propri PC.
Windows 7 RC è uno Zero Day
Questa è veramente bella e ve la devo raccontare. Da alcuni giorni c'è in giro una nuova botnet che... Da Jailbreak a Zombie: l’iPhone Diventa una Botnet
Novembre 2009 è stato un mese critico per l'iPhone. Infatti in questo periodo hanno fatto la loro apparizione... 6 Parole Chiave per Capire la Guerra Cibernetica
Da quando ho deciso di scrivere costantemente di hacking e sicurezza su questo blog la cyberwarfare... Zero Day Minaccia Flash
Pare che i tentativi di Adobe di correre ai ripari siano falliti. Nel corso di quest'anno i prodotti...
feb 20, 2009 at 18:09:35
Bell’articolo Angelo!
Potresti inserire nel tuo sito un modulo x gli avvisi di nuovi commenti o già c’è ma sn ignorante
? Sarebbe comodo.
feb 20, 2009 at 21:05:39
La domanda sorge spontanea: dove se le procura un malintenzionato queste botnet?.. la gente se le scambia su IRC?
feb 21, 2009 at 23:50:25
@TroUblE: intendi una funzione che permetta di ricevere una notifica se viene aggiunto un nuovo commento?
@m7x: la questione è complessa e meriterebbe un articolo a parte. Esiste un mercato nero di malware (e di zero day). Esistono anche chat e forum riservati dove effettuare le trattative. In alcuni casi gli autori sono contattabili tramite IM.
feb 22, 2009 at 13:53:04
@Angelo: Si intendevo proprio quella funzione.
feb 22, 2009 at 13:59:21
@TroUblE: aggiungerò la funzione nei prossimi giorni.
feb 23, 2009 at 16:05:44
Grazie Mille!!!
feb 27, 2009 at 17:15:49
@TroUblE: mi sembra un’ottima idea, utile per chi desidera rimanre informato sul progredire della discussione.
Altre idee per migliorare il sito sono le benvenute
mag 6, 2009 at 10:01:45
[quote]@m7x: la questione è complessa e meriterebbe un articolo a parte. Esiste un mercato nero di malware (e di zero day). Esistono anche chat e forum riservati dove effettuare le trattative. In alcuni casi gli autori sono contattabili tramite IM.[/quote]
Sarebbe bello se approfondisci meglio questa parte!
Io rimango sintonizzato!!
mag 9, 2009 at 13:16:31
@m7x: vedrai, prima o poi ci scriverò un articolo
mag 9, 2009 at 13:27:18
Tra l’altro questi giorni stavo guardando questo pdf
http://www.cs.ucsb.edu/~seclab/projects/torpig/torpig.pdf
Dagli un’occhiata!
A presto!
mag 14, 2009 at 19:10:20
Grazie per la segnlazione
mag 14, 2009 at 19:14:04
Di nulla… Fammi sapere cosa ne pensi!! (volendo anke per email) ciao!