Anatomia di una Botnet

E’ sempre più facile sentir parlare di botnet, famigerate reti di computer infettati sotto il controllo della cyber-criminalità. In questo articolo cerco di mettere in risalto sinteticamente gli elementi che compongono una botnet, il suo funzionamento e le dinamiche di formazione.

Per chi fosse interessato a questo genere di articoli può controllare anche Anatomia di un Exploit e Cosa sono gli Zero Day?

Una botnet è una rete di computer sotto il controllo di un botnet master. Si articola in due componenti, la rete di computer infettati detti zombie o droni, e un pannello di controllo (Comando e Controllo, C&C) dove il botnet master può controllare tutti i computer contemporaneamente.

Altro vantaggio del C&C è che il botnet master non si deve collegare direttamente ai droni. L’unità di C&C funge da mediatore tra il botnet master e la botnet, aggiungendo uno strato di anonimato tra i droni e il botnet master. Botnet master che si collegherà al C&C tramite Tor, Proxy o altro metodo di anonimato. Come si può capire, risalire al proprietario di una botnet è assai arduo.

Vediamo in dettaglio i componenti di una botnet, i metodi di C&C, lo scopo e come nascono le botnet:

  • Unità di Comando e Controllo (C&C). E’ un’interfaccia dalla quale il botnet master può lanciare comandi e ottenere informazioni sui droni. Da questa piattaforma centralizzata si controlla tutta la botnet. Il botnet master diventa il generale di un’armata assolutamente obbediente ed efficace.
  • Zombie (o Droni). Sono i computer infettati. Ignari utenti consegnano involontariamente i propri PC ai botnet master. I PC così “arruolati” diventano soldati di un esercito ordinato e obbediente, in grado di portare a termine attività come attacchi (DDoS) o spionaggio (Keylogging).

L’Unità di Comando e Controllo può assumere diverse forme, ma le incarnazioni tipiche sono:

  • Irc, Internet Relay Chat: è la forma più classica di interfaccia di controllo, la più antica forma di chat online, la più amata dagli hacker. Immaginate una chatroom con migliaia di utenti, che in realtà non sono utenti ma droni. Un comando scritto nella chat dal botnet master ottiene l’immediata mobilitazione di migliaia di zombi.
  • Http: variante un po’ più scomoda di Irc ma con il vantaggio che in genere l’Http non viene filtrato dai firewall. In questo caso il botnet master si trova di fronte ad una pagina web (o meglio, una web application) dov’è in grado di controllare tutti gli aspetti della botnet e di ordinare attacchi, esattamente come nella chat Irc.

A cosa serve una botnet? Vediamo:

  • Spam: i milioni di messaggi giornalieri che quotidianamente inondano Internet partono da droni.
  • Proxy: le botnet possono essere utilizzate come piattaforme di bouncing tattico, utili per far rimbalzare le connessioni attraverso diversi droni prima di giungere sull’obiettivo. Rintracciare l’origine di un’intrusione dirottata attraverso questi nodi diventa un lavoro praticamente impossibile.
  • Keylogger: I droni possono essere utilizzati per spiare le attività degli utenti. Documenti sensibili, dati finanziari, account di e-banking.
  • DDoS: insieme allo spam l’attività principale di una botnet. Dall’interfacci di C&C il botnet master è in grado, con un solo comando, di scatenare migliaia di droni contro un singolo computer con il risultato di paralizzarne l’attività.

Come si forma, si sviluppa e si diffonde una botnet? Tramite worm:

  • Per sua natura il worm è lo strumento utilizzato per formare una botnet. In genere un worm utilizza un vettore di infezione ad alta penetrazione come per esempio i bug dei servizi RPC di Windows, ma tenta anche strade più banali come l’invasione delle risorse condivise o semplici attacchi a dizionario contro condivisioni protette da password deboli. Una volta portata a termine l’infezione il computer viene trasformato indrone e passa sotto il controllo del botnet master. I worm possono anche essere piuttosto sofisticati, e possono utilizzare tecniche crittografiche per le comunicazioni con il C&C; possono auto-aggiornarsi con versioni più potenti e penetranti. Inoltre ilworm utilizza autonomamente il drone per scandagliare la rete in cerca di altre vittime da aggregare alla botnet.

Abbiamo visto come un botnet master controlli migliaia di computer infettati (droni) con una semplice interfaccia (C&C), interfaccia che gli garantisce anche un discreto livello di anonimato. Con questi strumenti egli è in grado di effettuare qualsiasi attività illecita possibile in rete. La formazione e diffusione di botnet è affidata ai worm, che si propagano autonomamente, infettano computer e li consegnano al botmaster.

Per sua natura una botnet è un’entità assai dinamica e volatile: ogni giorno nuovi droni si aggiungono, ma altri si perdono.

Le attività delle botnet sono monitorare da centrali di controspionaggio informatico (honeypot), che raccolgono intelligence sull’attività di queste “armi” digitali e tentano di fornire alle forze di contrasto le informazioni utili per poter neutralizzare la minaccia.

Gli utenti possono dare una mano al contrasto delle botnet con poche semplici azioni, come utilizzare un personal firewall e tenere aggiornati i propri PC.

13 comments to “Anatomia di una Botnet”
  1. Pingback: Da Jailbreak a Zombie: l’iPhone Diventa una Botnet | Scena Warez

Comments are closed.