Tietoturva : Botnet-verkkojen toimintaa

Created by Jukka Koskinen, last modified on Aug 15, 2017

Olli-Pekka Pyykkö, 2011

Johdanto

Botnet-verkoista melko lyhyessä ajassa kehittynyt vakava ongelma. Ensimmäiset botnet-verkot ilmestyivät 2000-luvun alussa ja alle 10 vuodessa niiden määrä sekä niiden hallitsemien zombi-koneiden määrät ovat kasvaneet huimasti.

Botnet-verkot syntyvät virusten ja matojen avustuksella. Kun käyttäjä saa koneelleen tällaisen haittaohjelman, se joko sisältää tai hakee verkosta ohjelman, botin, jonka avulla botnet-verkon omistaja, tai paimentaja (englanniksi bot-herder), saa käyttäjän koneen hallintaansa. Botnet-verkkojen yleisimmät käyttökohteet ovat roskapostin lähetys ja hajautettujen palvelunestohyökkäysten suorittaminen. Yleensä botnet-verkon hallitaan käytetään standardeihin perustuvia verkkoprotokollia, kuten esimerkiksi IRC:tä ja HTTP:tä [1].

Alla tutustutaan kolmeen eri botnet-verkkoon, Mariposaan, Waledaciin ja Rustockiin. Käydään läpi hieman niiden toimintaa, kuinka laajalle ne levisivät eli montako konetta verkkoon kuului sekä tutustutaan niiden sulkemiseksi vaadittuihin toimiin.

Mariposa

Mariposa-botnet-verkko havaittiin joulukuussa 2008. Verkko suljettiin 23. joulukuuta 2009, jolloin verkko koostui 12,7 miljoonasta zombi-koneesta, mikä tekee siitä yhden suurimmista tunnetuista botnet-verkoista [2].

Mariposan leviämisestä vastasi Butterfly bot -niminen haittaohjelma. Kun haittaohjelma pääsi käyttäjän koneelle, se tarkkaili ensin käyttäjän toimia ja yritti kerätä salasanoja, pankkitunnuksia ja luottokorttitietoja. Tämän jälkeen ohjelma yritti levittää itseään käyttäen erilaisia keinoja: mm. Windows Messengerin ja P2P-verkkojen kautta. Näiden alkutoimien jälkeen haittaohjelma otti yhteyttä botnet-verkon sisällä olevalle kontrollipalvelimelle. Tätä palvelinta käytettiin antamaan käskyjä koko botnet-verkolle.

Mariposan avulla tehtiin erilaisia hyökkäyksiä. On varmistettu, että verkko oli vastuussa palvelunestohyökkäyksistä, roskapostituksesta, henkilötietojen varastamisesta ja hakutulosten korvaamisesta selaimessa sellaisilla tuloksilla, joissa näytettiin mainoksia ja pop-up -mainoksia. Erilaisten hyökkäysten suuri määrä johtuu siitä, että botnet-verkkoa oli mahdollista vuokrata omiin käyttötarkoituksiinsa. Mariposan päällimmäisenä tarkoituksena oli siis rahallisen hyödyn hankkiminen botnet-verkon omistajille, DDP Team -ryhmälle (espanjaksi: Días de Pesadilla Team, englanniksi: Nightmare Days Team). [3]

Toukokuussa 2009 muodostettiin Mariposa Working Group. Siinä olivat osallisina tietoturvayhtiöt Panda Security ja Defence Intelligence, Georgia Tech Information Security Center sekä kansainvälisiä tietoturva-ammattilaisia ja viranomaistahoja. Tämän työryhmän tarkoituksena oli Mariposa-botnet-verkon analysointi ja sulkeminen. Työryhmä sai 23. joulukuuta 2009 kaapatuksi hallintaansa botnet-verkon kontrollipalvelimet ja näin koko botnet-verkon. Omistajat yrittivät saada verkon takaisin hallintaansa. Kontrollipalvelin yhteyksiin verkon omistajat käyttivät anonyymejä VPN-palveluja peittääkseen jälkensä, mutta yrittäessään saada verkon takaisin ryhmän johtaja Florencio Carro Ruiz (”Netkairo”) teki kohtalokkaan virheen. Hän otti yhteyden palvelimeen suoraan kotikoneeltaan VPN:n käyttämisen sijaan. Espanjan poliisi pidätti Netkairon 3.2.2010 DDP Team -ryhmän epäiltynä johtajana. Espanja poliisi teki vielä kaksi muuta pidätystä; 24.2.2010 Jonathan Pazos Rivera (”Jonyloleante”) ja Juan Jose Bellido Rios (”Ostiator”) pidätettiin epäiltyinä DDP Team:in jäseninä. Butterfly bot -haittaohjelman luoja ”Iserdo” pidätettiin 28.7.2010 Slovenian poliisin toimesta. [3][4]

Ennen pidätystään DDP onnistui saamaan botnet-verkon hetkellisesti takaisin hallintaansa, mutta Mariposa Working Group kaappasi sen uudestaan muuttamalla DNS-tietoja. Tällöin zombie-koneet eivät enää saaneet yhteyttä kontrollipalvelimiin ja tutkijat saivat selville verkon laajuuden seuraamalla boteilta tulevia yhteydenottoja. [3]

Pidätysten yhteydessä takavarikoiduilta koneilta löytyi suuria määriä varastettuja tietoja muun muassa pankkitilitietoja, luottokorttitietoja, käyttäjätunnuksia ja salasanoja ja niin edelleen. Alustavien laskemien mukaan botnet-verkon aiheuttamat menetykset ja siivoamiskulut nousevat miljooniin dollareihin.

Waledac

Waledac-botnet-verkko, joka tunnettiin myös nimillä Waled ja Waledpak saatiin kaadetuksi vuoden 2010 maaliskuussa. Botnet-verkko keskittyi enimmäkseen roskapostittamiseen. Piiloutuakseen virustorjuntaohjelmistoilta Waledacin binäärikoodi sisälsi useita hyppykäskyjä ja muita debuggausta vaikeuttavia temppuja. Waledacin saastuttamat koneet toimivat kahdessa eri moodissa joko varapalvelimena välitysmoodissa tai asiakasohjelmana. Varapalvelimet auttoivat jakamaan palvelinlistaa ja haittaohjelman päivityksiä sekä toimintaohjeita asiakasohjelmille. Asiakasohjelmamoodissa olevat koneet olivat zombeja, jotka toteuttivat niille annettuja käskyjä.

Ennen verkon sulkemista se hallitsi 70000 - 90000 zombi-konetta, joita se käytti roskapostin lähettämiseen [5]. Waledac pystyi lähettämään päivässä noin 1,5 miljardia roskapostiviestiä, mikä vastaa noin yhden prosentin osuutta koko maailman roskapostin määrästä.

Waledacin pysäyttämiseen käytettiin huomattavan erilaista tapaa kuin Mariposan suhteen. Microsoft sai 25. helmikuuta 2010 oikeuden määräyksellä katkaista väliaikaisesti yhteyden 277 domain-nimeltä, joita botnet-verkon kontrollipalvelimet käyttivät [6]. Näin saatiin lamautetuksi suurin osa botnet-verkkoa, mutta Waledac pystyi kommunikoimaan P2P-yhteyden yli useiden botnet-solmujen kanssa, joten verkkoa ei ollut vielä saatu lopullisesti suljetuksi [7]. Syyskuun alussa 2010 Microsoft sai omistukseensa 276 Waledac-botnet-verkon kontrollipalvelimen käyttämää domain-nimeä ja näin verkko saatiin lopullisesti suljetuksi [8].

Rustock

Rustock-botnet-verkko, tunnettiin myös nimillä RKRustok ja Costrat, toimi vuodesta 2006 vuoden 2010 maaliskuuhun saakka. Arviot verkon zombi-koneiden määrät vaihtelevat suuresti; arvioita on esitetty 150000 saastuneesta koneesta 2,4 miljoonaan koneeseen. Rustock-botnet-verkko kasvoi pääasiallisesti sen itsensä lähettämien haitallisten sähköpostien kautta. Haitallinen sähköposti sisälsi troijalaisen, jonka avulla saastunut kone liitettiin osaksi botnet-verkkoa. Saastumisen jälkeen trojalainen yritti ottaa yhteyttä ainakin osaan botnet-verkon 2500 kontrollipalvelimesta. Piiloutuakseen virustorjuntaohjelmistoilta Rustock käytti rootkit-teknologioita. Se oli monimutkaisesti salattu, se esti debuggerien toiminnan ja usein se poisti itsensä, jos se havaitsi että sitä yritettiin vangita [9].

Niinkuin Waledacin myös Rustockin pääasiallista toimintaa oli roskapostin lähettäminen. Botnet-verkko kykeni lähettämään 30 miljardia roskapostiviestiä päivässä. Lähettäessään roskapostia Rustock salasi yhteyden TLS-salauksella 35%:ssa tapauksista, tarkoituksenaan piilottaa olemassaolonsa. Botnet-verkkoa voitiin käskeä myös suorittamaan hajautettuja palvelunestohyökkäyksiä.

Rustockin kontrollirakenne oli monitasoinen. Verkon paimentaja kommunikoi vain pienen komentotason kanssa. Tämä komentotaso kommunikoi sitten kontrollipalvelimien kanssa, jotka jakoivat ohjeet eteenpäin verkkoon kuuluville saastuneille koneille. Suurin osa jaetuista käskyistä oli roskapostipohjia esimerkiksi Viagra-mainoksia.

Rustock-botnet-verkko koki takaiskun vuonna 2008, kun palveluntarjoaja McColo lakkautettiin, koska se oli palveluntarjoajana useimmille botnet-verkon kontrollipalvelimille. Sulkemisen jälkeen McColo kuitenkin ilmestyi takaisin verkkoon 12 tunniksi, jonka aikana se siirsi tietoa Venäjällä sijaitseville palvelimille jopa 15 Mbit:n sekuntivauhtia; todennäköisesti sinne siirrettiin verkon kontrollitiedot [10]. Palveluntarjoaja McColon sulkeminen vähensi hetkellisesti maailmanlaajuista roskapostin määrää, mutta 2009 tammi- ja heinäkuun välisenä aikana määrä kasvoi 60 prosentilla, josta 40 prosentin on arvioitu tulleen Rustock-verkkoon kuuluvilta zombi-koneilta.

Rustockin toiminta saatiin loppumaan 16. maaliskuuta 2011. Aluksi ilmoitettiin, että se oli palveluntarjoajien ja ohjelmistotoimittajien yhteissaavutus. Seuraavana paljastettiin, että sulkemista kutsuttiin nimellä ”Operation b107” ja se oli Microsoftin, Yhdysvaltojen liittovaltion lainvalvontaviranomaisten, tietoturvayhtiö FireEye:n ja Washingtonin yliopiston toteuttama. Domain-nimet, joita käytettiin kontrollipalvelimina suljettiin. Suljettiin myös yhteyksiä haittaohjelmaan kovakoodattuihin IP-osoitteisiin, jotka toimivat varajärjestelmänä palvelimien domain-nimille.

Rustockista vastuussa henkilöt eivät ole jääneet kiinni. Microsoft on luvannut 250 000 dollarin palkkion tietoista, jotka johtavat näiden henkilöiden tunnistamiseen, pidätykseen ja tuomioon. Vaikka Rustockin kontrollipalvelimet on saatu suljettua, botnet-verkko ei ole kokonaan kuollut. Saastuneet koneet, joita ei syystä tai toisesta ole puhdistettu haittaohjelmasta, eivät enää lähetä roskapostia tai muutenkaan toimi, koska ne eivät saa palvelimilta ohjeita. On vaarana, että verkon omistajat saavat sen vielä jonkinlaisin keinoin takaisin haltuunsa ja jatkaa toimintaa ehkä jopa vieläkin vaarallisempana.

Yhteenveto

Botnet-verkkojen sulkemisen teknisten keinojen rinnalle on noussut toinen mahdollisuus; verkkojen vastaisen taistelun käyminen oikeudessa. Microsoftin kiinnostus botnet-verkkojen kaatamiseen voi vaikuttaa ensin hieman oudolta, mutta kun hieman ajattelee asiaa ja muistaa esimerkiksi kenen palvelu Hotmail on, niin kiinnostus on aivan luonnollista. Muutkin isot yritykset, joiden alaa ei ole tietoturvallisuus tai tietotekniikka ollenkaan, ovat kiinnostuneet botnet-verkkojen sulkemisesta. Lääkeyhtiö Pfizer tuki Microsoftia oikeudessa Operation b107:n aikana [9]. Sekin on helposti ymmärrettävissä, kun miettii kuinka usein törmää roskapostiin, joka mainostaa kyseisen lääkeyhtiön hyvin tunnetun lääkkeen piraattiversioita.

Jos botnet-verkkojen koot jatkavat kasvuaan tulevaisuudessa, se avaa hakkereille uudenlaisen mahdollisuuden tunkeutua järjestelmiin. He voivat ottaa yhteyttä botnet-verkon omistajiin ja vain kysyä sattuisiko heillä olemaan hallussaan tiettyjä kohteita, joista he ovat kiinnostuneet. Säästäisi heiltä aikaa ja vaivaa, jos he pääsevät suoraan takaoven kautta koneeseen, verrattuna siihen että he itse murtautuvat siihen. Myös älypuhelimien määrän kasvaessa huimaa vauhtia botnet-verkkojen tehtailijat saattavat kääntää katseensa tällaiseen liikkuvan botnet-verkon luomiseen.

Lähteet