211service.com
Onderzoekers kapen een drive-by-botnet
Door te infiltreren in een crimineel computernetwerk om bezoekers van legitieme websites te infecteren, hebben universitaire onderzoekers uit de eerste hand inzicht gekregen in de omvang en reikwijdte van het zogenaamde drive-by-downloaden. Ze vonden meer dan 6.500 websites die kwaadaardige code hosten die bijna 340.000 bezoekers omleidde naar kwaadaardige sites.
Drive-by-downloaden omvat het hacken van een legitieme site om heimelijk schadelijke software op de machines van bezoekers te installeren of ze om te leiden naar een andere site.
In een niet-gepubliceerd artikel beschrijven onderzoekers van de Universiteit van Californië in Santa Barbara een onderzoek van vier maanden waarin ze hun servers verbonden met een verzameling gecompromitteerde computers die bekend staat als het Mebroot-botnet. Onder hun bevindingen ontdekten de onderzoekers dat, hoewel de louche sites op internet - die met porno en illegale downloads - het meest effectief waren in het omleiden van gebruikers naar een kwaadaardige downloadsite, zakelijke sites vaker voorkwamen onder de gecompromitteerde verwijzers.
Er was eens dat je dacht dat als je niet door porno bladerde, je veilig zou zijn, zegt Giovanni Vigna , een UCSB-professor in de computerwetenschappen en een van de auteurs van het artikel. Maar wegblijven van de louche plekken op internet is niet langer een garantie dat u veilig blijft.
Het Mebroot-netwerk, dat eind 2007 voor het eerst werd ontdekt door onderzoekers, gebruikt gecompromitteerde websites om bezoekers om te leiden naar gecentraliseerde downloadservers die proberen de computer van het slachtoffer te infecteren. De kwaadaardige software, genoemd naar zijn tactiek om de master boot record (MBR) van een Windows-computer te infecteren, vertoont tekenen van professionele programmering, waaronder een snelle cyclus van debuggen, zeggen onderzoekers.
Het is absoluut een van de meest geavanceerde en professionele botnets die er zijn, zegt Kimmo Kasslin, directeur van security response voor antivirusbedrijf F-Secure, gevestigd in Helsinki, Finland.
Met behulp van verschillende methoden infecteren de criminelen achter Mebroot legitieme webservers met Javascript-code. De code leidt bezoekers om naar een ander internetdomein, dat elke dag verandert, en waar een kwaadwillende server probeert hun computer te compromitteren met een programma dat de eigenaren van het botnet op afstand controle over die machine biedt.
De techniek voor het genereren van aangepaste domeinen is een relatief geavanceerde manier om pogingen om het netwerk permanent uit te schakelen, te verijdelen, zeggen de onderzoekers. Oudere drive-by downloadschema's hebben slachtoffers omgeleid naar een hardgecodeerd webadres. In plaats van een statisch adres, genereert het Javascript dat door Mebroot wordt gebruikt elke dag een nieuw adres, vergelijkbaar met het domeinalgoritme dat wordt gebruikt door een andere computerplaag genaamd Conficker. Omdat het algoritme echter afhankelijk is van bekende invoer, namelijk de datum, kunnen domeinen vooraf worden berekend, wat de verdedigers helpt. Zo probeerde de Conficker Working Group toekomstige domeinen minimaal een maand van tevoren te reserveren.
Tijdens de vier maanden dat de onderzoekers Mebroot bestudeerden, gebruikte het infectienetwerk drie verschillende algoritmen voor het genereren van domeinen, waarvan er twee alleen de datum van de dag als invoer gebruikten. De laatste variant voegt echter een variabele toe die niet lang van tevoren te raden is: het tweede karakter van de meest populaire zoekterm van de dag op Twitter.
Zij (de makers van Mebroot) gebruikten een variabele die geen controle had over de slechteriken of de goeden, zegt Marco Cova, een UCSB-student en co-auteur van de paper.
Nadat ze het algoritme voor het genereren van domeinen hadden omgekeerd, hebben de onderzoekers Mebroot tijdelijk gekaapt door de stappen te spiegelen die de gecompromitteerde websites nemen om het huidige domein te berekenen en die domeinen zelf te registreren. Maar de onderzoekers merkten dat wanneer ze een domein registreerden voor hun sinkhole-servers, de Mebroot-bende zou reageren door toekomstige domeinen sneller te registreren.
De onderzoekers konden ook het typische slachtoffer van het netwerk profileren. Bijna 64 procent van de bezoekers die naar de servers van de onderzoekers werden doorgestuurd, draaide Windows XP, terwijl 23 procent Windows Vista gebruikte. De volgende twee meest populaire besturingssystemen waren Mac OS X 10.4 Tiger en Mac OS X 10.5 Leopard, goed voor 6,4 procent van alle bezoekers.
De onderzoekers hebben nooit de systemen van bezoekers gecompromitteerd. Maar ze konden bewijs vinden dat ze besmet waren door twee soorten informatie te analyseren die via het netwerk werden verzonden. Eén suggereerde dat 6,5 procent van de bezoekers besmet was met malware. De ander gaf aan dat 13.3. procent van de systemen is gewijzigd door kwaadaardige of ongewenste bestanden. Bovendien gebruikte meer dan de helft, ongeveer 54 procent, een soort antivirussoftware. Ongeveer 12 procent van degenen die de beveiligingssoftware gebruiken, was ook besmet met malware, ontdekten de onderzoekers.
De onderzoekers ontdekten ook dat bijna 70 procent van degenen die door Mebroot werden doorgestuurd – geclassificeerd op internetadres – kwetsbaar waren voor een van de bijna 40 kwetsbaarheden die regelmatig worden gebruikt door de meest populaire infectietoolkits die zijn ontworpen om computersystemen te compromitteren. Ongeveer de helft van dat aantal was kwetsbaar voor de zes specifieke kwetsbaarheden die door de Mebroot-toolkit worden gebruikt.
Het onderzoek suggereert dat gebruikers vaker moeten updaten, zegt Vigna van UCSB.
Patches zijn erg goed in het verminderen van de blootstelling van de eindgebruikers, maar gebruikers zijn niet erg goed in het updaten van hun systeem, zegt hij.