211service.com
Hur nästa generation av botnät kommer att utnyttja anonyma nätverk och hur man slår dem
Botnät är datorprogram som pratar med varandra över Internet. Vissa är helt godartade, som de som kontrollerar internetchattar. Men många botnät är helt skadliga, program som skickar skräppost eller deltar i överbelastningsattacker och så vidare. Dessa nätverk kontrolleras av enskilda brottslingar som använder dem för skändliga syften som att generera olaglig inkomst eller attackera andra webbplatser.
Arbetet med att hitta och stoppa denna kriminella verksamhet har blivit en global strävan. Den första generationen av botnät var relativt enkel att stoppa. Eftersom de styrdes av en enda dator någonstans på webben var tricket att hitta den datorn och stänga av den.
Det var enkelt när själva programmen innehöll den information som var nödvändig för att kommunicera med kommando- och kontrollservern.
Men på senare år har detta katt- och råttaspel blivit mycket mer sofistikerat. Botnät vidtar nu rutinmässigt åtgärder för att dölja platsen för kommando- och kontrollservern. Ett tillvägagångssätt, känt som snabb flöde, är att skapa en konstant ström av IP-adresser och mappa hundratals eller tusentals av dem samtidigt till ett domännamn. Den som hoppas kunna hitta kommando- och kontrollservern måste söka igenom varje IP-adress innan den ändras.
På senare tid har botnät börjat utnyttja Tor-nätverket som är utformat för att låta människor kommunicera anonymt över Internet. Detta, i kombination med tillkomsten av ospårbara elektroniska valutor som Bitcoin, har lett till uppkomsten av utpressning och ransomware som inte går att spåra även efter att en betalning har gjorts.
Idag säger Amirali Sanatinia och Guevara Noubir vid Northeastern University i Boston att nästa generation av botnät sannolikt kommer att bli ännu mer sofistikerad. De beskriver hur de tror att dessa botnät kommer att utvecklas men föreslår också ett enkelt sätt att neutralisera dem.
Sanatinia och Noubir säger att anonymiteten som erbjuds av Tor-liknande nätverk kommer att vara oemotståndlig för botnätmästare, så den mesta innovationen kommer att ske inom detta område. För att utnyttja denna anonymitet måste dessa botnät utnyttja en teknik som kallas lökdirigering som kapslar in meddelanden inom olika lager av kryptering, som lager av en lök.
Varje server som meddelandet passerar genom dekrypterar ett lager av löken som avslöjar dess nästa destination. När det sista lagret avslöjas har meddelandet nått sin destination. Anonymiteten kommer från det faktum att ingen server längs rutten vet något om meddelandet förutom dess nästa destination.
Sanatinia och Noubir tror helt klart att denna nivå av anonymitet kommer att vara svår för botnätmästare att motstå. Följaktligen döper de nästa generation av botnät som kommer att utnyttja dessa OnionBots och ägnar lite tid åt att förklara exakt hur de kommer att behöva arbeta för att på bästa sätt använda lökrouting.
Det låter misstänkt som ett stort steg mot katastrof – tidningen är en användbar bakgrundsbild för alla som vill sätta upp en OnionBot. Sanatinia och Noubir har dock också hittat ett sätt att neutralisera den här typen av OnionBots.
Grundidén är att injicera program i nätverket som företrädesvis kopplas till OnionBots. De reproducerar sig sedan och omger effektivt varje OnionBot så att den inte längre är ansluten till någon annan del av nätverket. När det händer är OnionBot isolerad och neutraliserad.
Därmed inte sagt att det är möjligt att helt skydda sig mot en attack av OnionBots. Men Sanatinia och Noubir hoppas kunna kickstarta arbetet med att ta itu med nästa generation av bots innan det ens kommer igång. Det finns fortfarande många utmaningar som måste åtgärdas i förebyggande syfte av säkerhetsgemenskapen, vi hoppas att detta arbete tänder nya idéer för att proaktivt utforma begränsningar mot de nya generationerna av kryptobaserade botnät, säger de.
Det kan vara en riskabel strategi att göra detta så offentligt. Å andra sidan kan ett offentligt tillvägagångssätt utnyttja den bredaste poolen av säkerhetstalanger. Förslag om hur man kan förbättra denna strategi i kommentarsavsnittet nedan.
Ref: arxiv.org/abs/1501.03378 : OnionBots: Omstörtande integritetsinfrastruktur för cyberattacker