Misbrug af uvidende ejeres pc\'er

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Stadig flere pc'er indgår i de såkaldte botnet, hvor de misbruges til at udsende spam og angribe andre computere. Til gengæld aftager mængden af bredt udsendte mail-orme.

Hvem har kontrollen over din pc? Måske er det kun dig selv – men den kan også være fjernstyret af andre, uden at du ved det.

Det er konsekvensen af, at botnet bliver stadig mere udbredte. Et botnet er et netværk af pc'er, såkaldte "robotter" eller "zombies". Disse robotter kan en hacker fjernstyre ved at sende kommandoer til dem.

Ifølge den seneste halvårsrapport fra sikkerhedsfirmaet Symantec deltager over 10.000 pc'er hver dag i botnet. Det er mere end en fordobling i forhold til andet halvår 2004, hvor tallet var knap 4.500 pc'er.

I DK-CERT mærker vi også, at botnet er blevet mere udbredte. Et typisk tegn er, når en pc begynder at kommunikere til en server på TCP-port 6667. Den port anvendes af chatprotokollen Internet Relay Chat (IRC).

Fjernstyres via chat
Men i botnetsammenhæng bliver IRC ikke brugt til uskyldig chat. Når en pc bliver overtaget af en botnet-orm, kobler den sig på en IRC-chatkanal. Herefter venter den. På et tidspunkt logger bagmanden sig på kanalen – den er som regel passwordbeskyttet, så udenforstående ikke kan få adgang.

Bagmanden kan nu sende chatbeskeder til alle pc'erne i botnettet. Disse beskeder fortolker botnetprogrammet på den enkelte pc som kommandoer, den skal udføre.

For eksempel kan alle pc'erne få besked på at starte et ude-af-drift-angreb på en bestemt IP-adresse. Det kan ske som led i pengeafpresning: Bagmanden iværksætter et angreb, standser det, og kontakter offeret. Han kræver at få penge fra offeret, ellers starter han angrebet igen. Angrebet består som regel i millioner af datapakker, der har forfalskede afsenderadresser. Derfor er det svært at finde angriberne. Og finder man endelig frem til dem, har man alligevel ikke fundet bagmanden, kun hans uafvidende hjælpere.

Endvidere udsendes meget spam gennem pc'er i botnet. De hackere, der etablerer botnet, udlejer eller sælger dem til spam-bagmændene.

Spredes via orme
De pc'er, der deltager i botnet, er som regel blevet smittet af en botnet-orm. Det kan være en mail-baseret orm, der indeholder botnet-teknologi. Også traditionelle orme, der udnytter sårbarheder, kan etablere botnet. Det så vi for nylig med Zotob-ormene, der udnyttede en plug-and-play-sårbarhed i Windows. De koblede sig til en IRC-server og havde mulighed for at downloade og køre programmer.

Da der er penge at tjene på at udleje botnet, er bagmændene interesseret i at holde lav profil. Det kan være årsagen til, at vi ikke længere ser de massive udbrud af mail-baserede orme, som nettet tidligere led under. Under et angreb kan op til 20 procent af alle mails være inficeret, men for tiden ligger infektionsraten i gennemsnit på under to procent. Store angreb får megen omtale, men der er ikke nødvendigvis penge at tjene på dem. Her er botnet en mere sikker indtægtskilde i undergrundsøkonomien.

Oprindelig bragt på Computerworld Online den 30. september 2005

 

LINKS

"En million zombier hærger internettet", Computerworld Online-artikel fra marts

Keywords: