211service.com
Forskare kapar ett Drive-By-botnät
Genom att infiltrera ett kriminellt datornätverk som syftar till att infektera besökare till legitima webbplatser har universitetsforskare fått förstahandsinsikt i omfattningen och omfattningen av så kallad drive-by-nedladdning. De hittade mer än 6 500 webbplatser med skadlig kod som omdirigerade nästan 340 000 besökare till skadliga webbplatser.
Drive-by-nedladdning innebär att hacka sig in på en legitim webbplats för att i hemlighet installera skadlig programvara på besökarnas maskiner eller omdirigera dem till en annan webbplats.
I en opublicerad artikel beskriver forskare vid University of California i Santa Barbara en fyra månader lång studie där de kopplade sina servrar till en samling av komprometterade datorer som kallas Mebroot-botnätet. Bland deras fynd upptäckte forskarna att även om de mer läskiga sajterna på Internet – de som är värd för porr och olagliga nedladdningar – var mest effektiva för att omdirigera användare till en skadlig nedladdningssida, var företagssajter vanligare bland de hänvisare som komprometterats.
En gång i tiden trodde du att om du inte surfade på porr så skulle du vara säker, säger Giovanni Vigna , en UCSB-professor i datavetenskap och en av tidningens författare. Men att hålla sig borta från de förslappade platserna på Internet är inte längre en garanti för att vara säker.
Mebroot-nätverket upptäcktes för första gången av forskare i slutet av 2007 och använder komprometterade webbplatser för att omdirigera besökare till centraliserade nedladdningsservrar som försöker infektera offrets dator. Den skadliga programvaran, uppkallad efter sin taktik att infektera en Windows-dators master boot record (MBR), visar tecken på professionell programmering, inklusive en snabb cykel av felsökning, säger forskare.
Det är definitivt ett av de mest avancerade och professionella botnäten som finns, säger Kimmo Kasslin, chef för säkerhetsrespons för antivirusföretaget F-Secure, som är baserat i Helsingfors, Finland.
Med hjälp av en mängd olika metoder infekterar brottslingarna bakom Mebroot legitima webbservrar med Javascript-kod. Koden omdirigerar besökare till en annan internetdomän, som ändras varje dag, och där en skadlig server försöker äventyra sin dator med ett program som ger botnätets ägare fjärrkontroll över den maskinen.
Tekniken för generering av anpassade domäner är ett relativt sofistikerat sätt att förhindra försök att permanent stänga av nätverket, säger forskarna. Äldre drive-by-nedladdningssystem har omdirigerat offer till en hårdkodad webbadress. Istället för en statisk adress genererar Javascript som används av Mebroot en ny adress varje dag, liknande den domänalgoritm som används av en annan datorpest som heter Conficker. Men eftersom algoritmen förlitar sig på kända indata – nämligen datum – kan domäner förberäknas, vilket hjälper försvararna. Conficker Working Group försökte till exempel reservera framtida domäner minst en månad i förväg.
Under de fyra månader som forskarna studerade Mebroot använde infektionsnätverket tre olika domängenereringsalgoritmer, varav två endast använde dagens datum som indata. Den sista varianten lägger dock till en variabel som inte är lätt att gissa långt i förväg: det andra tecknet i dagens mest populära sökterm på Twitter.
De (Mebroots skapare) använde en variabel som inte hade kontroll över de onda eller de goda, säger Marco Cova, en UCSB-student och en medförfattare till tidningen.
Efter att de omvänd konstruktion av domängenereringsalgoritmen kapade forskarna Mebroot tillfälligt genom att spegla de steg som de komprometterade webbplatserna tar för att beräkna dagens domän och registrera dessa domäner själva. Men forskarna märkte att när de registrerade en domän för sina sinkhole-servrar så skulle Mebroot-gänget reagera genom att registrera framtida domäner snabbare.
Forskarna kunde också profilera nätverkets typiska offer. Nästan 64 procent av besökarna som omdirigerades till forskarnas servrar körde Windows XP, medan 23 procent använde Windows Vista. De följande två mest populära operativsystemen var Mac OS X 10.4 Tiger och Mac OS X 10.5 Leopard, som stod för 6,4 procent av alla besökare.
Forskarna har aldrig äventyrat besökarnas system. Men de kunde hitta bevis för att de hade blivit smittade genom att analysera två typer av information som skickats över nätverket. En antydde att 6,5 procent av besökarna var infekterade med skadlig programvara. Den andra angav att 13.3. procent av systemen hade modifierats av skadliga eller oönskade filer. Dessutom körde mer än hälften – cirka 54 procent – någon form av antivirusprogramvara. Ungefär 12 procent av de som körde säkerhetsprogramvaran var också infekterade av skadlig programvara, fann forskarna.
Forskarna upptäckte också att nästan 70 procent av de som omdirigerades av Mebroot – klassificerat efter internetadress – var sårbara för en av nästan 40 sårbarheter som regelbundet används av de mest populära infektionsverktygen som är utformade för att äventyra datorsystem. Ungefär hälften av det antalet var sårbara för de sex specifika sårbarheter som används av Mebroot-verktygslådan.
Forskningen tyder på att användare behöver uppdatera oftare, säger UCSB:s Vigna.
Patchar är väldigt bra på att minska exponeringen för slutanvändarna, men användarna är inte så bra på att uppdatera sitt system, säger han.