211service.com
Att bryta mot Botnet-koden
Nätverk av komprometterade datorer som kontrolleras av en central server, mer känd som botnät, är en schweizisk armékniv av verktyg för onlinebrottslingar. Hackare kan använda dessa adjungerade system för att ta bort skräppost, vara värd för skadlig kod, dölja sina spår på Internet eller översvämma ett företagsnätverk för att stänga av dess tillgång till webben.
Närhelst ett nytt botnät dyker upp, tävlar forskare om att bakåtkonstruera programvaran som den installerar på ett offers dator och att avkoda hur varje bot kommunicerar med den kontrollerande servern. Eftersom dessa kommunikationer ofta är krypterade kan sådana analyser ta veckor eller månader. Nu har forskare från University of California i Berkeley och Carnegie Mellon University skapat ett sätt att automatiskt omvända kommunikationen mellan komprometterade datorer och deras kontrollerande servrar.
I en artikel som ska presenteras denna vecka på Association for Computing Machinery Konferens om dator- och kommunikationssäkerhet , visar forskarna hur automatisk reverse engineering kan dechiffrera strukturen och syftet med kommunikationen mellan en kommando-och-kontrollserver och dess bots.
Botnätets kommunikationsprotokoll är kärnan i botnätet, säger Juan Caballero, en doktorand knuten till både University of California i Berkeley och Carnegie Mellon University, och huvudförfattare till tidningen. Det är så angriparen skickar kommandon till botnätet.
När forskare tidigare har försökt att automatiskt analysera botnätkommunikationsprotokoll fokuserade de på att dechiffrera de kommandon som klienten tar emot. Ändå har Caballero, tillsammans med UC Berkeley biträdande professor Dawn Song och två andra kollegor, utvecklat en teknik som översätter både de kommandon som tas emot av en klient och de svar den skickar.
Forskarna körde sedan botnätskoden på en virtuell maskin och analyserade rörelsen av information till och från en dators register – minneskomponenter i en maskins processor – innan den krypterades. Att se efter förändringar i minnesregistren – forskarna kallar denna buffertdekonstruktion – gjorde det möjligt för dem att härleda strukturen för botnätskommunikationen och härleda funktionen hos de olika komponenterna i varje kommando.
Detta är relevant för skadlig programvara, eftersom vi vanligtvis inte har den körbara filen för kommando-och-kontrollservern för ett botnät, säger Paolo Milani, postdoktor vid Secure System Lab vid Wiens tekniska högskola och författare till en tidigare artikel på automatiserad protokollanalys. Så med tidigare tekniker skulle vi inte automatiskt kunna bakåtkonstruera klientsidan av protokollet.
Forskarna byggde in den resulterande tekniken i ett verktyg, kallat Dispatcher, för att analysera botnätnätverkskommunikation och till och med injicera ny information i kommunikationsströmmen. Forskarna testade tillvägagångssättet på ett komplext botnät känt som MegaD, som skapade rubriker i början av 2008 när säkerhetsföretag märkte att det var ansvarigt för nästan en tredjedel av skräpposttrafiken över hela världen.
Forskarna analyserade 15 meddelanden som de hade samlat in genom att övervaka en MegaD-bot: Sju kommandon skickade från kontrollservrarna och åtta svar från boten. Verktyget Dispatcher analyserade boten när den kördes på den virtuella maskinen och upptäckte automatiskt punkten där programmet dekrypterade kommandon men ännu inte hade krypterat sina svar.
Nätverksadministratörer kan också använda Dispatcher-verktyget för att infiltrera botnätet. MegaD-klienter kommer vanligtvis att kontrollera om de kan skicka e-post, för att bli en användbar kugge i en spamkampanj. Eftersom forskarna blockerar all utgående e-posttrafik, skulle klienten normalt skicka ett meddelande till den kontrollerande servern om att dess e-posttest misslyckades. Men forskarna modifierade meddelandet på vägen och svarade istället med koden för ett lyckat spamtest.
Normalt skulle det ha skickat ett meddelande som säger att det inte kan spamma, säger UC Berkeleys Caballero. Vi [istället] fick faktiskt spammallen, så vi kunde se vilken typ av spam den skulle skicka ut.
Verktyg som Dispatcher kan utöka det som för närvarande är ett litet antal forskare som regelbundet reverse engineer botnät, säger Joe Stewart, senior säkerhetsforskare för SecureWorks , ett nätverkssäkerhetsföretag. Det skulle lösa ett problem som världen har – att ha tillräckligt med människor för att analysera botnät, säger han. Det finns bara så många människor som kan göra reverse engineering på botnät. Du har en grupp entusiaster som kan använda detta för att hjälpa dem.
Stewart tillägger dock att erfarna forskare ännu inte behöver sådana automatiserade verktyg för att analysera de flesta skadliga program. Medan mer komplicerade botnät kan ta veckor att omvända konstruktionen, är skadlig programvara som de flesta företag och organisationer stöter på inga problem alls. Mer än 90 procent av alla botnät använder kryptering som är lätt att bryta för att skydda sin kommunikation, vilket gör manuella tekniker relativt lätta och snabba.
Inte alla (bot master) behöver kryptering av MegaD-typ, säger Stewart. Jag tycker helt enkelt inte att det är värt sin tid, inte med den effekt vi har på dem nu, vilket är minimalt.
Ändå kommer botnät att fortsätta att utvecklas, säger UC Berkeley's Song. Botnet-programmen blir mer komplicerade, säger hon. De använder olika obfuskeringstekniker och så vidare. Så kanske manuell analys kan fungera för nu, men i framtiden kommer vi att behöva bättre verktyg.