Venter nye bølger med avanserte angrep

Undergrunnen av hackere har utviklet helt nye metoder for styring og drift av zombier.

Langfredag var rundt 40 utvalgte eksperter innen IT-sikkerhet samlet til en lukket konferanse i Cambridge i Massachusetts, kalt «Hotbots». Etter konferansen har flere av deltakerne henvendt seg til amerikansk presse med sine funn. På konferansens nettsted har innlederne publisert rapportene som ble lagt fram: Hotbots '07, First Workshop on Hot Topics in Understanding Botnets.

Konklusjonen fra konferansen kan oppsummeres slik: Kriminelle miljøer har gjort et stort sprang i å utvikle ny teknologi for såkalte «zombie-nett» eller «botnet», det vil si PC-er som via Internett er infisert med programvare som gjør at de kan misbrukes av uvedkommende. Det er blant annet konstatert helt nye metoder for å styre og drifte de infiserte PC-ene.

En viktig endring er at zombie-nett ikke lenger behøver å organiseres hierarkisk: I stedet for at en eller en håndfull maskiner i nettet utmerker seg ved at de brukes til å styre de andre, kommuniserer zombiene med hverandre i et likeverdig nett, det vil si etter prinsippet «peer to peer» (P2P).

Et zombie-nett organisert etter kommando-prinsippet er forholdsvis lett å sette ut av spill: Man lar seg infisere, og følger trafikken fra den infiserte PC-en til den styrende PC-en. Når den er identifisert, kan man bruke forskjellige metoder for å isolere den fra nettet. Zombiene er fortsatt infisert, men de kan ikke lenger brukes.

Et zombie-nett organisert etter P2P-prinsippet kan ikke settes ut av spill på denne måten: Styringskommandoene hopper fra PC til PC i nettet. Det er umulig å spore seg fram til noe egentlig opphav.

Ekspertene konstaterte at zombienes P2P-nett i mange tilfeller bygger på skreddersydde P2P-protokoller: Det gjør det enda vanskeligere å utvikle effektive mottiltak.

Parallelt med den nye arkitekturen for zombie-nett, er det utviklet nye metoder for drift og oppdatering gjennom krypterte meldinger. Den styrbare funksjonaliteten i zombie-PC-en – som oftest er umerkelig for den som bruker PC-en til daglig – trappes opp gradvis gjennom krypterte meldinger som ikke kan fanges opp gjennom for eksempel virussignaturer.

Det er videre avslørt at krypterte overføringer i P2P-zombie-nett ofte dreier seg om å sette vanlig sikkerhetsprogramvare ute av spill: Antivirus lammes, brannmurer omkonfigureres og så videre.

Den fremste metoden for den initiale infiseringen av PC-er er fortsatt masseutsendt e-post med infiserte vedlegg eller med lenker til infiserte nettsteder. Kartleggingen av infiserte nettsteder viser at mange også er ofre for angrep: Ondsinnet kode i skript og bilder er ofte plantet av uvedkommende, eller ordnet gjennom kryss-skripting. Nye metoder der ondsinnet kode krypteres eller skjules bak skript eller bilder ble også avdekket på konferansen, der man konstaterte at hackerne nok en gang har kommet seg flere skritt foran sikkerhetsjegerne.

Parallelt med mer avansert teknologi, mener ekspertene at kriminell hacking er mer organisert, og at tjenestene som tilbys selges til langt bredere grupper.

Hacking er i stadig større grad knyttet til en svart økonomi: Det utløser en ond sirkel fordi svarte penger brukes til å finansiere mer utvikling av ondsinnet kode.

En ekspert som har uttalt seg til flere aviser, Jose Nazario fra Arbor Networks, sier at de nye zombie-nettene har fått langt mer brukervennlige styringsgrensesnitt. Nettene omorganiseres stadig vekk, og det er en økende tendens til at et gitt zombie-nett opprettes med tanke på ett bestemt og gjerne kortvarig formål.

– Langt flere folk bruker zombie-nett til svindelpreget annonsering, og de tiltrekker også masse nestegenerasjons spammere. Alt dreier seg om penger, understreker Nazario overfor Infoworld.

I påskehelgen, straks etter at konferansen var over, dukket en ny variant av en av trojanerne som var gjenstand for heftige diskusjoner, opp i en ny bølge med spam: Storm-ormen, også kjent som Small-ormen og Peacomm-trojaneren.

Midt i januar konstaterte sikkerhetsselskapene uvanlig stor spredning av denne trojaneren, som ofte var i stand til å omgå alminnelig antivirus og andre typiske sikringstiltak.

    Les også:

I begynnelsen av februar ble den samme trojaneren observert i en lynmeldingsvariant, som ble brukt til å angripe antispamtjenester. Ifølge F-Secure dreier Storm/Peacomm også om rivalisering mellom gangstere: Noe av angrepskoden som den bærer, er rettet mot hackergruppen Warezov.

Påskens variant av Storm preget ifølge sikkerhetsselskapene SANS og Postini rundt 55 millioner e-postmeldinger i løpet av ett til to døgn. Meldingene dreide seg typisk om advarsler mot ormer og trojanere, med tips om hvordan man kunne beskytte seg. Klikk på vedlegg eller lenke førte til smitte, og i noen tilfeller til at lokalt antivirus ble lammet. Infiserte PC-er ble koplet til et eget P2P-nettverk, helt i tråd med det som ble diskutert på Hotbots-konferansen.

Til toppen