280 likes | 378 Views
BOTNETY. Virtuální kriminalita. Prodám Malware Kit. 70 % zákeřných kódů vzniká za účelem zisku tvorba kódů na zakázku 62 % tvoří virové nástroje umožňující kontrolu nad infikovanými počítači propojení s organizovaným zločinem. Statistika. Rok 2005 995 klasických virů
E N D
BOTNETY Virtuální kriminalita
Prodám Malware Kit • 70 % zákeřných kódů vzniká za účelem zisku • tvorba kódů na zakázku • 62 % tvoří virové nástroje umožňující kontrolu nad infikovanými počítači • propojení s organizovaným zločinem
Statistika • Rok 2005 • 995 klasických virů • 17 800 trojských koňů „S jediným trojským koněm je systém děravý jako cedník …“
Co je botnet • Bot(Robot) • automatický program, který obsahuje komunikační a řídící modul a lze vzdáleně ovládat tak, aby plnil požadované příkazy, • proměňuje počítač v „terminál“ – „zombie“ • Botnet(Bot Network) • síť infikovaných počítačů mnoha různých uživatelů, kterou lze řídit automatizovaně prostřednictvím vzdálené správy.
Různé podoby botů • od velmi jednoduchých po velmi složité • různé podoby • trojský kůň • vlastnosti virů • kombinovaná hrozba – spojení červa s botem • rychlá mutace • jsou vzdáleně ovládány • jedním příkazem se řídí celá řada počítačů
Užiteční boti • eggdrop (1993) • www.energymech.net • www.eggheads.org
Ovládání botů • P2P (peer to peer) sítě • diskusní skupiny • chatovací protokoly IRC Dle odhadu expertů, útočníci ovládají 7% z celkového počtu počítačů na světě, tj. cca 47 miliónů strojů. Zdroj:SecurityFocus
Práce hackerů je čím dál jednodušší V Internetu existuje takové množství nezabezpečených počítačů, že hackeři nemusí sami hledat bezpečnostní díry, ale stačí jim počkat na vydání bezpečnostní záplaty. Čas mezi objevením nového nedostatku a jeho využitím k útoku se čím dál více zkracuje.
Analýza • Webové servery • MS Windows 2000 Server • 1 hod. 17 min. • Desktopové systémy • MS Windows XP Professional • 1 hod. 12 sec. • MS Windows 2000 Professional + Service Pack 4 3. místo
Případ z praxe 14.8.2005 9.8.2005 17.8.2005 MS05-39 ZOTOB CNN New York Times
Hlavní bezpečnostníhrozbou jsou nezabezpečené počítače Přeměna počítače v zombie • využívání známých chyb v systému • šíření pomocí exploitů • používání zadních vrátek (backdoors) • neodpovědnost uživatelů • návštěva rizikových webových stránek • stahování programů • otevírání podezřelých příloh
Tip • Spyware kvíz www.siteadvisor.com
Zdroj: SYMANTEC Země nejvíce infikované botem7/05 – 12/05
Síla botnetu • Rozesílání spamu (až 70 %) • Phishingové útoky • Krádež citlivých informací • DDoS útok • Šíření zákeřného kódu • Automatizované otvírání reklam • Vymáhání výpalného
Spojení kriminality s byznysem Script Kiddies hackeři nájemný počítačový zločinec organizovaný zločin pronajímání sítí,vydírání, podvody, krádeže, … anonymně v prostředí internetu
Zdroj: SYMANTEC Počet infikovaných počítačů za den Spybot (4300 variant) Gaobot
Zdroj: SYMANTEC DoS útoky za týden
Známé případy - 1 • Leden 2005, USA Kalifornie • Jeanson James Ancheta (20) • první soudní proces za zneužívání botnetů • ovládl přes 400 počítačů (od června 2004) • napadnuté počítače nabízel k pronajmutí • zisk přes 60 tisíc dolarů
Známé případy - 2 • Říjen 2005, Holandsko • zatčeni 3 hackeři (19, 22, 27) • Botnet využívali ke krádeži citlivých údajů • dle vyšetřování měli k dispozici přes 1,5 miliónů napadených počítačů Reálná hrozba
Známé případy - 3 • Únor 2006, USA • Christopher Maxwell • díky pop-up reklamě na kompromitovaných počítačích zisk 100 tisíc dolarů • leden 2005 -DDoS útok na počítačovou síť nemocnice v Seattlu
Zákeřnost botů • neutralizace antivirového programu • např. modifikací systémového souboru hosts • vyřazení FW • aktualizace botu • změna funkcionality • změna bezpečnostního nastavení systému
Válka botů - Botwar • boj o moc • skupiny červů se navzájem likvidují • 8/2005 • červi skupiny IRCbot, BOZORI ničí škodlivý kód skupiny ZOTOB
Infekce botem • boty mohou odolávat antivirovým programům • odstranění bota = odstranění neznámého viru • 100 % jistota = reinstalace systému
Aktivní prevence • pravidelně záplatovat OS • aktualizovat antiviry, antispyware • FW • pouze důvěryhodné webové stránky • neinstalovat neověřené programy • nereagovat na spam • neotvírat neznámé přílohy • ….
Tip • Zkontrolujte si aktualizaci antivirové databáze • Přehled antivirových programů: • find.pcworld.com/49708 • Využijte on-line skener: • kaspersky.com • bitfender.com
Boj proti malwaru • restriktivní pravidla elektronické komunikace • definovaná politika záplatování • IDS / IPS • informovanost zainteresovaných pracovníků o aktuálních hrozbách
Co lze očekávat • nárůst kriminálních útoků • útoky přesně zacílené • novější botnety – díky malé velikosti se mohou lépe skrýt • nová hrozba ZERO DAY • cílené útoky na chyby ještě předtím, než je vydána bezpečnostní záplata
Odkazy • http://en.wikipedia.org/wiki/Botnet • http://honeynet.org/papers/bots • http://swatit.org/bots • http://www.cert-in.org.in/knowledgebase/ whitepapers/ciwp-2005-05.pdf • http://www.securityfocus.com/columnists/398 • http://www.symantec.com/enterprise/threatreport/index.jsp