211service.com
Een botnet opvoeden in gevangenschap
Om een crimineel te pakken te krijgen, moet je soms zo denken.
Dus onderzoekers die cybercriminelen op het spoor zijn die legers van geïnfecteerde computers, ook wel botnets genoemd, gebruiken om spam-e-mail te verzenden of websites aan te vallen, bouwen hun eigen botnets. Gelukkig wordt de nieuwe aanpak getest met behulp van een krachtig computercluster dat veilig is geïsoleerd van internet.
We hebben iets opgezet waarvan we dachten dat het het dichtst bij een botnet in het wild zou staan, zegt Pierre-Marc Bureau, een onderzoeker bij computerbeveiligingsbedrijf GEVAL , onderdeel van het project onder leiding van een team van Ecole Polytechnique de Montreal met medewerkers van Nancy University, Frankrijk, en Carlton University, Canada. Voor zover wij weten, is dit het eerste dergelijke realistische experiment, zegt hij.
Meer dan 3.000 exemplaren van Windows XP werden geïnstalleerd op een cluster van 98 servers bij Ecole Polytechnique. Elk virtueel computersysteem was verpakt in software die het met de andere verbond alsof het een individuele computer was die was verbonden met internet of een lokaal netwerk. Elk systeem was ook besmet met de Waledac-worm, een stukje nu goed begrepen en grotendeels overwonnen software waarvan Microsoft begin 2010 schatte dat het honderdduizenden computers zou controleren en 1,5 miljard spamberichten per dag zou versturen.
Het team bootste de controlestructuur na die nodig is om een Waledac-botnet over te nemen, waarbij een centrale command-and-control-server orders naar een handvol bots stuurt, die die instructies vervolgens naar andere machines verspreiden.
De afgelopen jaren hebben onderzoekers technieken ontwikkeld om live botnetcommunicatie af te luisteren en zelfs berichten in deze communicatie te injecteren. Het bouwen van een compleet botnet in een experimentele omgeving geeft echter veel meer vrijheid, zegt Bureau. Wanneer je experimenteert op een live botnet, kun je een slechte reactie van de eigenaar uitlokken die geïnfecteerde machines schaadt, legt hij uit, en dan controleer je mogelijk ook de machines van onschuldige gebruikers, wat ethische en juridische problemen heeft.
Het hebben van een eigen botnet gaf de onderzoekers ook de luxe om het van binnen en van buiten te kunnen observeren terwijl het normaal werkte of werd aangevallen door iemand die het netwerk probeerde uit te schakelen, en ook om meerdere proeven uit te voeren die statistisch significante resultaten opleverden.
Het was, zegt Bureau, nogal een uitdaging om de eigenaar van een cluster ter waarde van ongeveer $ 1 miljoen ervan te overtuigen dat het een goed idee was om er malware op te installeren.
Om dit experiment te mogen uitvoeren, moesten we serieuze voorzorgsmaatregelen nemen om ervoor te zorgen dat het nooit zou lekken, zegt Bureau. Op veel andere computers van de gastuniversiteit draaiden ongetwijfeld versies van Windows die veel leken op die in het experiment. Het cluster was fysiek losgekoppeld van het bredere netwerk en alles moest erop worden geladen met dvd's in plaats van door verbinding te maken met een andere computer, zelfs voor een korte tijd.
Een resultaat van de experimenten was inzicht in de uitdagingen van het runnen van een botnet, zegt Bureau. Experts hadden opgemerkt dat de codering die werd gebruikt om berichten tussen individuele bots en de command-and-control-server te beveiligen zwak was en gingen ervan uit dat de ontwerpers slechte codeurs waren. In feite was het waarschijnlijk een opzettelijke ontwerpbeslissing, zegt Bureau. We merkten dat onze command-and-control-server snel overweldigd werd door de belasting van de cryptografie. We begrepen dat ze bepaalde beslissingen hadden genomen vanwege de hoge eisen van een groot botnet.
Het team heeft ook een Sybil-aanval uitgeprobeerd, waarbij nepbots aan het netwerk worden toegevoegd om het gedrag ervan te beïnvloeden. Experimenten toonden aan dat deze aanpak zou kunnen voorkomen dat het botnet helemaal spam verstuurt.
Thorsten hout , die onderzoek leidt naar botnets en malware aan de Ruhr-universiteit Bochum, Duitsland, is het ermee eens dat een captive botnet een nuttig onderzoeksinstrument is. Het is een gecontroleerde omgeving waar je alles kunt doen, zegt hij.
Holz maakte deel uit van een team dat berichten injecteerde in het controlenetwerk van de Storm-worm, een wijdverbreide voorganger van Waledac, om zijn gedrag te bestuderen. Het interpreteren van de resultaten werd bemoeilijkt door het feit dat groepen van Georgia Tech en de University of California, San Diego, hetzelfde deden. We zagen allemaal berichten verschijnen die waren geïnjecteerd door de andere onderzoeksgroepen, zegt Holz. Het werd een speeltuin voor injectiestrategieën en dat bemoeilijkte onze resultaten.
Een botnet in gevangenschap zal nooit precies hetzelfde zijn als een botnet in het wild, zegt Holz. Het nadeel is dat je niet alles kunt evenaren, zegt hij. Een typisch Waledac-botnet zou 50.000 - 100.000 geïnfecteerde computers bevatten, tegen de 3.000 in het experiment. Het gedrag van een echt botnet zou ook worden bepaald door de verkeerspatronen op internet van andere bronnen, iets wat niet door de simulatie wordt vastgelegd.
Bureau zegt dat hij hoopt meer van dergelijke experimenten te zien en te doen, bijvoorbeeld om de werking van minder goed begrepen malware aan het licht te brengen. Nu we voor het eerst hebben bewezen dat het mogelijk is, hoop ik dat de computerbronnen beschikbaar komen om meer te doen.