Att skapa ett botnät i fångenskap

För att fånga en brottsling måste man ibland tänka som en.





Så forskare på spåren av cyberskurkar som använder arméer av infekterade datorer, så kallade botnät, för att skicka ut spam-e-post eller för att attackera webbplatser bygger egna botnät. Lyckligtvis testas det nya tillvägagångssättet med hjälp av ett kraftfullt datorkluster som är säkert isolerat från Internet.

Vi satte upp det vi trodde skulle vara närmast ett botnät i naturen, säger Pierre-Marc Bureau, en forskare på ett datasäkerhetsföretag. FALL , en del av projektet som leds av ett team vid Ecole Polytechnique de Montreal med medarbetare vid Nancy University, Frankrike och Carlton University, Kanada. Så vitt vi vet är detta det första sådana realistiska experimentet, säger han.

Över 3 000 exemplar av Windows XP installerades på ett kluster av 98 servrar på Ecole Polytechnique. Varje virtuellt datorsystem var insvept i programvara som länkade det till de andra som om det vore en enskild dator ansluten till Internet eller ett lokalt nätverk. Varje system var också infekterat med Waledac-masken, en bit av nu välförstådd och till stor del övervunnen programvara som i början av 2010 beräknades av Microsoft kontrollera hundratusentals datorer och skicka ut 1,5 miljarder skräppostmeddelanden om dagen.



Teamet efterliknade kontrollstrukturen som behövs för att ta hand om ett Waledac-botnät, där en central kommando-och-kontrollserver skickar order till en handfull bots som sedan sprider dessa instruktioner till andra maskiner.

Under de senaste åren har forskare utvecklat tekniker för att avlyssna livekommunikation från botnät och till och med injicera meddelanden i denna kommunikation. Att bygga ett komplett botnät i en experimentell miljö ger dock mycket mer frihet, säger Bureau. När du experimenterar på ett levande botnät kan du provocera fram en dålig reaktion från dess ägare som skadar infekterade maskiner, förklarar han, och då kontrollerar du också potentiellt oskyldiga användares maskiner, vilket har etiska och juridiska problem.

Att ha ett eget botnät gav också forskarna lyxen att kunna observera det inifrån och ut när det fungerade normalt eller attackerades av någon som försökte inaktivera nätverket, och även att köra flera försök som gav statistiskt signifikanta resultat.



Det var, säger Bureau, något av en utmaning att övertyga ägaren av ett kluster värt cirka 1 miljon dollar att det var en bra idé att installera skadlig programvara på det.

För att få köra det här experimentet var vi tvungna att vidta allvarliga försiktighetsåtgärder för att säkerställa att det aldrig skulle läcka, säger Bureau. Många andra datorer vid värduniversitetet körde utan tvekan versioner av Windows ungefär som de som användes i experimentet. Klustret kopplades fysiskt bort från det bredare nätverket och allt måste laddas in på det med hjälp av DVD-skivor snarare än genom att ansluta till en annan dator, även för en kort tid.

Ett resultat av experimenten var en inblick i utmaningarna med att driva ett botnät, säger Bureau. Experter hade märkt att krypteringen som användes för att säkra meddelanden mellan enskilda botar och kommando-och-kontrollservern var svag och antog att dess designers var dåliga kodare. I själva verket var det troligen ett avsiktligt designbeslut, säger Bureau. Vi hittade vår kommando-och-kontroll-server snabbt överväldigad av belastningen av kryptografi. Vi förstod att de hade fattat vissa beslut på grund av de höga kraven på ett stort botnät.



Teamet testade också en Sybil-attack, som innebär att man lägger till falska bots till nätverket för att påverka dess beteende. Experiment visade att detta tillvägagångssätt kunde stoppa botnätet från att skicka ut skräppost helt och hållet.

Thorsten trä , som leder forskning om botnät och skadlig programvara vid Ruhr University Bochum, Tyskland, håller med om att ett captive botnät är ett användbart forskningsverktyg. Det är en kontrollerad miljö där man kan göra vad som helst, säger han.

Holz var en del av ett team som injicerade meddelanden i kontrollnätverket för Storm-masken, en utbredd föregångare till Waledac, för att studera dess beteende. Att tolka resultaten komplicerades av det faktum att grupper vid Georgia Tech och University of California, San Diego, gjorde samma sak. Vi såg alla meddelanden dyka upp som hade injicerats av de andra forskargrupperna, säger Holz. Det blev en lekplats för injektionsstrategier, och det komplicerade våra resultat.



Ett fånget botnät kommer aldrig att bli exakt som ett i det vilda, säger Holz. Nackdelen är att man inte kan efterlikna allt, säger han. Ett typiskt Waledac-botnät skulle innehålla 50 000 - 100 000 infekterade datorer, jämfört med de 3 000 i experimentet. Ett verkligt botnäts beteende skulle också formas av mönstren för trafik på Internet från andra källor, något som inte fångas av simuleringen.

Bureau säger att han hoppas kunna se och göra fler sådana experiment – ​​till exempel för att avslöja hur skadlig programvara fungerar mindre väl. Nu har vi bevisat att det är möjligt för första gången, jag hoppas få se datorresurserna göras tillgängliga för att göra mer.

Dölj