Uno dei miei termini di cybersicurezza preferiti è "botnet". Evoca ogni tipo di immagine: robot interconnessi, legioni di lavoratori in rete che simultaneamente alimentano un singolo obiettivo. Stranamente, l'immagine che la parola evoca è simile a ciò che è una botnet, almeno nei termini di rotatoria.
Le botnet rappresentano una quantità considerevole di potenza di calcolo in tutto il mondo. E quel potere è regolarmente (forse anche in modo coerente) la fonte di malware, ransomware, spam e altro. Ma come nascono le botnet? Chi li controlla? E come possiamo fermarli?
Cos'è una botnet?
La definizione della botnet di SearchSecurity afferma che "una botnet è una raccolta di dispositivi connessi a Internet, che possono includere PC, server, dispositivi mobili e dispositivi Internet of Things infetti e controllati da un tipo comune di malware. Gli utenti sono spesso inconsapevoli di una botnet che infetta il loro sistema. "
La frase finale della definizione è la chiave. I dispositivi all'interno di una botnet di solito non sono lì volentieri. I dispositivi infettati da determinate varianti di malware sono controllati da attori di minacce remote, noti anche come criminali informatici. Il malware nasconde le attività botnet dannose sul dispositivo, rendendo il proprietario inconsapevole del proprio ruolo nella rete. Potresti inviare spam che offre un'appendice che ingrandisce i tablet a migliaia - senza un accenno.
Come tale, ci riferiamo spesso a dispositivi botnet infetti. Il tuo PC è uno zombi? E che cos'è un computer Zombie, comunque? [MakeUseOf Explains] Il tuo PC è uno zombi? E che cos'è un computer Zombie, comunque? [MakeUseOf Explains] Ti sei mai chiesto da dove arriva tutto lo spam su Internet? Ogni giorno riceverai centinaia di email spazzatura filtrate dallo spam. Significa che ci sono centinaia e migliaia di persone là fuori, seduti ... Leggi di più come "zombi".
Cosa fa una botnet?
Una botnet ha diverse funzioni comuni a seconda del desiderio dell'operatore botnet:
- Spam: invio di vasti volumi di spam in tutto il mondo. Ad esempio, la percentuale media di spam nel traffico e-mail globale tra gennaio e settembre era pari al 56, 69 percento. Quando la società di ricerche di sicurezza FireEye ha interrotto temporaneamente la transizione della famigerata botnet Srizbi dopo che il malfamato hosting di McColo è andato offline, lo spam globale è diminuito di un numero enorme (e infatti, quando è finalmente offline, lo spam globale è temporaneamente calato del 50%).
- Malware: consegna di malware e spyware su macchine vulnerabili. Le risorse di botnet vengono acquistate e vendute da malfattori per promuovere le loro imprese criminali.
- Dati: acquisizione di password e altre informazioni private. Questo si lega a quanto sopra.
- Frode sui clic: un dispositivo infetto visita i siti Web per generare traffico Web errato e impressioni pubblicitarie.
- Bitcoin: i controller Botnet dirigono i dispositivi infetti per estrarre Bitcoin e altre criptovalute per generare profitto in modo silenzioso.
- DDoS: gli operatori di botnet indirizzano la potenza dei dispositivi infetti a specifici obiettivi, portandoli offline in attacchi di tipo distributed-denial-of-service.
Gli operatori di botnet di solito trasformano le loro reti in un numero di queste funzioni per generare profitto. Ad esempio, gli operatori di botnet che inviano spam medico a cittadini statunitensi possiedono anche le farmacie knock-off che consegnano le merci. (Oh sì, ci sono prodotti reali alla fine dell'email. La Spam Nation di Brian Krebs è un'anteprima di questo.)
Spam Nation: la storia interna del crimine informatico organizzato, dall'epidemia globale alla tua porta d'ingresso Spam Nation: la storia interna del crimine informatico organizzato, dall'epidemia globale alla tua porta principale Acquista ora su Amazon $ 9.31
Le principali botnet hanno cambiato leggermente direzione negli ultimi anni. Considerando che lo spam medico e altri tipi simili di spam erano estremamente redditizi per un lungo periodo, le repressioni governative in diversi paesi hanno eroso i profitti. Di conseguenza, il numero di e-mail che trasportano un allegato dannoso è aumentato a uno su ogni 359 e-mail, secondo il rapporto di intelligence di luglio 2017 di Symantec.
Che aspetto ha una botnet?
Sappiamo che una botnet è una rete di computer infetti. Tuttavia, i componenti principali e l'architettura botnet effettiva sono interessanti da considerare.
Architettura
Esistono due principali reti botnet:
- Modello client-server: una botnet client-server utilizza in genere un client di chat (precedentemente IRC, ma le moderne reti bot hanno fatto uso di Telegram e altri servizi di messaggistica crittografati), dominio o sito Web per comunicare con la rete. L'operatore invia un messaggio al server, inoltrandolo ai client, che eseguono il comando. Sebbene l'infrastruttura botnet differisca da base a molto complessa, uno sforzo concentrato può disabilitare una botnet client-server.
- Peer-to-Peer: una botnet peer-to-peer (P2P) tenta di arrestare programmi di sicurezza e ricercatori che identificano server C2 specifici creando una rete decentralizzata. Una rete P2P è più avanzata 10 Termini di networking che probabilmente non conoscevate mai e che cosa intendevano 10 Termini di networking che probabilmente non conoscevate mai e che cosa significano Qui esamineremo 10 termini di rete comuni, cosa significano e dove è probabile incontrarsi loro. Leggi di più, in qualche modo, rispetto a un modello client-server. Inoltre, la loro architettura differisce da come la maggior parte prevede. Invece di una singola rete di dispositivi infetti interconnessi che comunicano tramite indirizzi IP, gli operatori preferiscono utilizzare dispositivi zombie collegati a nodi, a loro volta, collegati tra loro e al server di comunicazione principale. L'idea è che ci siano semplicemente troppi nodi interconnessi ma separati da abbattere simultaneamente.
Comando e controllo
I protocolli Command and Control (a volte scritti C & C o C2) hanno varie forme:
- Telnet: le reti bot di Telnet sono relativamente semplici, utilizzando uno script per eseguire la scansione degli intervalli IP per gli accessi predefiniti di telnet e server SSH per aggiungere dispositivi vulnerabili per l'aggiunta di bot.
- IRC: le reti IRC offrono un metodo di comunicazione a larghezza di banda estremamente bassa per il protocollo C2. La possibilità di cambiare rapidamente canale garantisce una maggiore sicurezza per gli operatori di botnet, ma significa anche che i client infetti vengono facilmente esclusi dalla botnet se non ricevono informazioni aggiornate sul canale. Il traffico IRC è relativamente facile da esaminare e isolare, il che significa che molti operatori si sono allontanati da questo metodo.
- Domini: alcune reti bot di grandi dimensioni utilizzano domini anziché un client di messaggistica per il controllo. I dispositivi infetti accedono a un dominio specifico che serve un elenco di comandi di controllo, consentendo facilmente modifiche e aggiornamenti al volo. Il lato negativo è l'enorme esigenza di larghezza di banda per le reti bot di grandi dimensioni, nonché la relativa facilità con cui vengono sospesi i domini di controllo sospetti. Alcuni operatori utilizzano il cosiddetto hosting a prova di proiettile per operare al di fuori della giurisdizione dei paesi con una rigorosa legge penale su Internet.
- P2P: un protocollo P2P di solito implementa la firma digitale utilizzando la crittografia asimmetrica (una chiave pubblica e una privata). Significato mentre l'operatore tiene la chiave privata, è estremamente difficile (essenzialmente impossibile) per chiunque altro emettere comandi diversi alla botnet. Allo stesso modo, la mancanza di un singolo server C2 definito rende più difficile l'attacco e la distruzione di una botnet P2P rispetto alle sue controparti.
- Altri: Nel corso degli anni, abbiamo visto gli operatori di botnet utilizzare alcuni canali di comando e controllo interessanti. Quelli che vengono istantaneamente alla mente sono i canali dei social media, come la botnet Android Twitoor, controllata tramite Twitter, o il Mac.Backdoor.iWorm che ha sfruttato il server su cui l'elenco dei server Minecraft subreddit recupera gli indirizzi IP per la sua rete. Anche Instagram non è sicuro. Nel 2017 Turla, un gruppo di cyber-spionaggio con stretti collegamenti con l'intelligence russa, stava usando commenti sulle foto Instagram di Britney Spears per archiviare la posizione di un server C2 di distribuzione di malware.
Zombies
L'ultimo pezzo del puzzle botnet sono i dispositivi infetti (cioè gli zombi).
Gli operatori di botnet cercano e infettano intenzionalmente dispositivi vulnerabili per espandere la loro potenza operativa. Abbiamo elencato gli usi principali della botnet sopra. Tutte queste funzioni richiedono potenza di calcolo. Inoltre, gli operatori di botnet non sono sempre amichevoli l'uno con l'altro, trasformando l'alimentazione delle loro macchine infette l'una sull'altra.
La stragrande maggioranza dei possessori di dispositivi zombie non è consapevole del proprio ruolo nella botnet. A volte, tuttavia, il malware botnet funge da canale per altre varianti di malware.
Questo video ESET fornisce una bella spiegazione di come si espandono le botnet:
Tipi di dispositivi
I dispositivi collegati in rete stanno arrivando online ad una velocità sorprendente. E le botnet non sono solo alla caccia di un PC o Mac. Come leggerete di più nella sezione seguente, i dispositivi Internet of Things sono altrettanto suscettibili (se non di più) alle varianti del malware botnet. Soprattutto se vengono ricercati a causa della loro spaventosa sicurezza.
Se avessi detto ai miei genitori di restituire la loro nuova smart TV che hanno messo in vendita perché IOT è incredibilmente insicuro, questo mi rende una buona figlia o una cattiva figlia?
Ho chiesto se può ascoltare i comandi vocali, hanno detto di sì; Ho fatto un suono scoppiettante. Hanno detto che parleremo domani.- Tanya Janca (@shehackspurple), 28 dicembre 2017
Anche smartphone e tablet non sono sicuri. Android ha visto diverse botnet negli ultimi anni. Android è un obiettivo facile Come fa il malware a entrare nel tuo smartphone? Come arriva il malware nel tuo smartphone? Perché i fornitori di malware desiderano infettare il tuo smartphone con un'app infetta e in che modo il malware entra in un'app mobile in primo luogo? Ulteriori informazioni: è open source, ha più versioni del sistema operativo e numerose vulnerabilità in qualsiasi momento. Non gioire così rapidamente, gli utenti iOS. Ci sono state un paio di varianti di malware per dispositivi mobili Apple, sebbene di solito limitate agli iPhone jailbroken con vulnerabilità di sicurezza.
Un altro obiettivo del dispositivo botnet principale è un router vulnerabile 10 modi il router non è sicuro come si pensa 10 modi il router non è sicuro come si pensa Ecco 10 modi in cui il router può essere sfruttato dagli hacker e dai dirottatori wireless drive-by . Leggi di più . I router con firmware vecchio e insicuro sono facili bersagli per le botnet e molti proprietari non si renderanno conto che il loro portale internet ha un'infezione. Allo stesso modo, un numero semplicemente sbalorditivo di utenti Internet non riesce a modificare le impostazioni predefinite sui loro router. 3 Password predefinite da modificare e Perché 3 password predefinite da modificare e Perché le password sono scomode, ma necessarie. Molte persone tendono a evitare le password laddove possibile e sono felici di utilizzare le impostazioni predefinite o la stessa password per tutti i loro account. Questo comportamento può rendere i tuoi dati e ... Leggi di più dopo l'installazione. Come i dispositivi IoT, questo consente al malware di propagarsi a una velocità impressionante, con poca resistenza incontrata nell'infezione di migliaia di dispositivi.
Prendendo una botnet
Prendere una botnet non è un compito facile, per una serie di ragioni. A volte l'architettura botnet consente a un operatore di ricostruire rapidamente. Altre volte, la botnet è semplicemente troppo grande per essere abbattuta in un colpo solo. La maggior parte delle operazioni di rimozione delle botnet richiede il coordinamento tra ricercatori della sicurezza, agenzie governative e altri hacker, a volte facendo affidamento su suggerimenti o backdoor imprevisti.
Uno dei principali problemi che affliggono i ricercatori di sicurezza è la relativa facilità con cui gli operatori copycat avviano le operazioni utilizzando lo stesso malware.
GameOver Zeus
Userò la botnet GameOver Zeus (GOZ) come esempio di rimozione. GOZ è stato uno dei più grandi botnet recenti, che si ritiene abbia oltre un milione di dispositivi infetti al massimo. L'uso principale della botnet era il furto monetario (distribuzione del ransomware CryptoLocker A History of Ransomware: dove è iniziata e dove sta andando una storia di ransomware: dove è iniziato e dove sta andando Il ransomware risale alla metà degli anni 2000 e come molte minacce alla sicurezza informatica, originato dalla Russia e dall'Europa dell'est prima di evolversi per diventare una minaccia sempre più potente, ma cosa riserva il futuro per il ransomware? Read More) e spam e, usando un sofisticato algoritmo di generazione di dominio peer-to-peer, sembra inarrestabile.
Un algoritmo di generazione del dominio consente alla botnet di pre-generare lunghi elenchi di domini da utilizzare come "punti di rendez-vous" per il malware botnet. Punti di rendez-vous multipli rendono quasi impossibile fermare lo spread, poiché solo gli operatori conoscono l'elenco dei domini.
Nel 2014, un team di ricercatori della sicurezza, in collaborazione con l'FBI e altre agenzie internazionali, ha finalmente costretto GameOver Zeus offline, nell'operazione Tovar. Non è stato facile. Dopo aver notato le sequenze di registrazione del dominio, il team ha registrato circa 150.000 domini nei sei mesi precedenti all'inizio dell'operazione. Questo era per bloccare qualsiasi futura registrazione del dominio dagli operatori di botnet.
Successivamente, diversi ISP hanno dato il controllo operativo dei nodi proxy GOZ, utilizzati dagli operatori botnet per comunicare tra i server di comando e controllo e la botnet effettiva. Elliot Peterson, il principale investigatore dell'FBI sull'operazione Tovar, ha dichiarato: "Siamo stati in grado di convincere i robot con cui eravamo bravi a parlare, ma tutti i colleghi, i proxy e i supernodi controllati dai cattivi erano cattivi con cui parlare e dovevano essere ignorato. "
Il proprietario del botnet Evgeniy Bogachev (in linea Slavik) si rese conto che il takedown era in atto dopo un'ora e tentò di contrattaccare per altre quattro o cinque ore prima di "concedere" la sconfitta.
In seguito, i ricercatori sono stati in grado di rompere la famigerata crittografia CryptoLocker ransomware, creando strumenti di decrittografia gratuiti per le vittime CryptoLocker Is Dead: ecco come recuperare i file! CryptoLocker è morto: ecco come recuperare i file! Leggi di più .
Le botnet IoT sono diverse
Le misure per combattere GameOver Zeus erano vaste ma necessarie. Illustra che la pura potenza di una botnet abilmente predisposta richiede un approccio globale alla mitigazione, che richiede "innovative tattiche legali e tecniche con strumenti tradizionali di contrasto", nonché "solide relazioni di lavoro con esperti del settore privato e controparti delle forze dell'ordine in più di 10 paesi in tutto il mondo. "
Ma non tutte le botnet sono uguali. Mentre una botnet incontra la sua fine, un altro operatore sta imparando dalla distruzione.
Nel 2016, la botnet più grande e più cattiva è stata Mirai. Prima della sua rimozione parziale, la botnet Mirai basata su Internet of Things ha colpito diversi obiettivi importanti perché la tua moneta crittografica non è sicura come pensi perché la tua moneta crittografica non è sicura come pensi Bitcoin continua a colpire nuovi massimi. Il nuovo arrivato di criptovaluta Ethereum minaccia di esplodere nella propria bolla. L'interesse per blockchain, mining e criptovaluta ha raggiunto il massimo storico. Allora perché gli appassionati di criptovaluta sono minacciati? Leggi di più con impressionanti attacchi DDoS. Uno di questi attacchi ha colpito il blog del ricercatore della sicurezza Brian Krebs con 620 Gbps, costringendo infine la protezione DDoS di Krebs a lasciarlo come cliente. Un altro attacco nei giorni seguenti ha colpito il provider di hosting di cloud OVH in Francia con 1.2Tbps nel più grande attacco mai visto. L'immagine qui sotto mostra quanti paesi colpiti da Mirai.
Sebbene Mirai non fosse nemmeno vicino ad essere la più grande botnet mai vista, ha prodotto i più grandi attacchi. Mirai ha fatto un uso devastante delle parti di dispositivi IoT incredibilmente insicuri. La tua casa intelligente è a rischio di vulnerabilità di Internet of Things? La tua casa intelligente è a rischio da vulnerabilità di Internet of Things? Internet of Things è sicuro? Lo speri, ma uno studio recente ha evidenziato che i problemi di sicurezza sollevati diversi anni fa devono ancora essere affrontati. La tua casa intelligente potrebbe essere a rischio. Leggi altro, usando un elenco di 62 password predefinite non sicure per ammassare i dispositivi (admin / admin era in cima alla lista, vai a figura).
Il ricercatore della sicurezza Marcus Hutchins (noto anche come MalwareTech) spiega che una parte del motivo per la massiccia potenza di Mirai è che la maggior parte dei dispositivi IoT siedono lì, senza fare nulla finché non sono richiesti. Ciò significa che sono quasi sempre online e quasi sempre hanno risorse di rete da condividere. Un operatore di botnet tradizionale analizzerebbe i periodi di picco di picco e gli attacchi temporali di conseguenza. Botnet IoT, non così tanto.
Quindi, quando i dispositivi IoT configurati in modo non corretto arrivano online, aumenta la possibilità di sfruttamento.
Rimanere sicuro
Abbiamo appreso cosa fa una botnet, come crescono e altro ancora. Ma come fai a impedire che il tuo dispositivo diventi parte di uno? Bene, la prima risposta è semplice: aggiorna il tuo sistema Come risolvere Windows 10: Domande frequenti per principianti Come risolvere Windows 10: Domande frequenti per principianti Hai bisogno di aiuto con Windows 10? Rispondiamo alle domande più frequenti sull'utilizzo e la configurazione di Windows 10. Ulteriori informazioni. Gli aggiornamenti regolari creano vulnerabilità nel tuo sistema operativo, a sua volta tagliando le vie per lo sfruttamento.
Il secondo è il download e l'aggiornamento di un programma antivirus e anche un programma antimalware. Esistono numerose suite antivirus gratuite che offrono un'eccellente protezione a basso impatto. Investire in un programma antimalware, come Malwarebytes La guida alla rimozione di malware completo La guida alla rimozione di malware completo I malware sono ovunque in questi giorni e sradicare il malware dal tuo sistema è un processo lungo, che richiede una guida. Se pensi che il tuo computer sia infetto, questa è la guida che ti serve. Leggi di più . Un abbonamento Malwarebytes Premium ti costerà $ 24, 95 per l'anno, offrendoti una protezione antimalware in tempo reale. Vale la pena investire, secondo me.
Infine, prendi qualche ulteriore sicurezza del browser. I kit di exploit drive-by sono una seccatura, ma sono facilmente evitabili quando si utilizza un'estensione per il blocco degli script come uBlock Origin Cos'è Cryptojacking e come puoi evitarlo? Che cos'è Cryptojacking e come puoi evitarlo? Una nuova minaccia alla sicurezza è in città: la crittografia, in cui il tuo computer viene dirottato per generare Bitcoin. Ma quanto è diffuso e come puoi fermare il tuo sistema in questo modo sovvertito? Leggi di più .
Il tuo computer faceva parte di una botnet? Come ti sei reso conto? Hai scoperto quale infezione stava usando il tuo dispositivo? Fateci sapere le vostre esperienze qui sotto!