> Zpět  


Zákeřní boti v akci


Bratři Čapkové nadělili světu slovo robot. Bylo odvozeno od slova robota, které označuje nucenou práci. V následujícím textu se zaměříme na zajímavý vývoj v oblasti botů – nového druhu malwaru. Jeho jméno je odvozeno od slova robot – a je ho možno využívat pro různé další "práce".

V praxi se téměř každý uživatel počítače setkal s fenoménem zvaným počítačový virus. Někteří dokonce pamatují doby, kdy nejrychlejším infekčním vektorem byla BBS se třemi modemy o rychlosti 2 400 baudů a virus o velikosti 8 KB byl považován za ohromný. Tehdejší viry mazaly disky a jako infekční vektor používaly téměř výhradně soubory, popřípadě boot sektory výměnných médií.

V osmdesátých letech Robert T. Morris stvořil červa, který se šířil s pomocí chyby v démonu fingerd a používal několik dalších vektorů. Výsledkem byl nebývale účinný DDoS na americké sítě. Před deseti lety vznikl první spam – nevyžádaná komerční nabídka zaslaná e-mailem velkému počtu adresátů.

Vzhledem k tomu, že každé odvětví lidské činnosti se vyvíjí, došlo i ve třech výše zmíněných oblastech k dosti podstatnému vývoji. Nejprve došlo ke spojení virů a červů. Jinak řečeno, tvůrci virů přejali techniky šíření červů. Postupem času si ovšem někteří tvůrci uvědomili, že není třeba počítač oběti zničit, mohl by se totiž hodit – došlo k vypuštěním destruktivní části viru a vložení kontrolního modulu. Zrodil se Bot. Přibližně do této doby spadá vznik termínu malware, který vznikl zkrácením termínu malicious software. Malware je trocha marketingu antivirových výrobců, ale hlavně zdravý rozum, který říká, že virus hubí svého hostitele, což se o nejnovějších výtvorech z této oblasti rozhodně říci nedá.


Infekční vektory

V současné době jsou rozhodně hitem chyby v softwaru a nedostatek inteligence uživatelů. Dosti se začíná rozmáhat využívání kontrolních kanálů jiných botů. Již proběhlo i několik bitek, ve kterých se bot pokusí převzít kontrolu nad strojem, který je již ovládán jiným druhem malwaru, což mělo za následek uvolnění nové varianty původního bota, který se pokusil převzít zpět, co mu bylo odebráno – a situace se opakovala.

Jak je vidět z vývoje malwaru, není třeba být na technické špičce a psát sofistikované moduly, které botům umožní využít k šíření poslední známé chyby. Bohatě stačí, pokud tvůrce použije chyby, které jsou známé v některých případech i řadu let. Dokonce ani není třeba využívat chyb v softwaru, stačí využít chyb uživatelů.

Připomeňme krátce některé chyby, které jsou dnes velmi populární:

  • RPC DCOM BO – Službu RPC (Remote Procedure Call) používá systém Windows pro odstínění programátora od síťové vrstvy. Tuto službu využívá i DCOM (Distributed Component Object Model). Chyba v implementaci tohoto modelu umožňuje spustit libovolný kód – například instalaci potřebných komponent bota. Tato chyba je opravena patchem KB823980, který je k dispozici od 16. července loňského roku. I přesto je chyba jako infekční vektor pro malware používána dodnes. Pravděpodobně nejznámějším reprezentantem využívajícím tuto chybu je červ W32.Blaster.
  • Windows Workstation Service BO – služba Workstation je základním kamenem fungování desktopu na operačních systémech Windows NT a odvozených. Situace je stejná jako v předchozím případě – patch je znám 6. července 2003 a dodnes se vyplatí tuto cestu používat.
  • LSASS BO - Local Security Authority Subsystem Service je služba, která poskytuje systému Windows různé služby související s přihlašováním uživatelů lokálně i do domény, s komunikací s Active Directory i s dalšími důležitými službami. Tato chyba je známa od 13. března 2004 a dokazuje, že tvůrci botů jsou schopni velmi rychle reagovat.

Ve všech případech se jedná o chyby klíčových komponent operačního systému Windows, pro které byl k dispozici patch již před objevením se prvního malwaru využívajícího danou chybu.


Neznalost uživatelů

Některé boty používají k šíření hlavně extrémní naivitu a neznalost prostředí, kterou prokazují dnešní uživatelé internetu. IRC, e-mail, ICQ, P2P – to všechno jsou velmi populární služby, nicméně uživatelé zde naprosto nedbají základních zásad bezpečného chování. Stáhnou a spustí cokoliv, otevírají jeden e-mail za druhým, používají nezáplatovaný software a podobně.

Dá se to přirovnat k tomu, že se v parku u Hlavního nádraží v Praze budeme o půl třetí ráno snažit rozměnit tisícikorunu v blahé naději, že nám se přece nemůže nic stát – jenom rozměníme a hned zase půjdeme. Dokud bude takovéto chování na veřejných sítích standardem, situace se pravděpodobně nezlepší.

Třetí skupinou vstupních vektorů jsou existující boti – například varianty Gaobota vesměs umí proniknout do počítače přes zadní vrátka (backdoor) instalované různými variantami malwaru Beagle, MyDoom a Optix.


Boj o moc

Teď se ovšem dostáváme k mnohem zajímavější části: Podařilo se infikovat počítač - je na něm bot. Co dál? V současné době je jasné, že nemá cenu bezhlavě ničit to, co bylo právě dobyto. Dnešní počítač běžného uživatele je relativně výkonná bedýnka, která umožňuje spoustu věcí. Vyplatí se tedy jej použít k něčemu smysluplnějšímu, než je přinucení uživatele začít hledat instalační CD od operačního systému.

Většina dnešních botů se ovládá přes IRC – bot se po úspěšném proniknutí na cílový počítač připojí na předem dohodnutý IRC kanál, ohlásí se a čeká na příkazy svého pána. Některé boty otevírají i shell na různých portech, popřípadě se mohou okamžitě věnovat předdefinované činnosti, nicméně na další příkazy reagují a jsou velmi flexibilní.

Dalším problémem, kterému bot čelí, je vzdálená možnost, že uživatel provede například update antiviru, nebo se pokusí nainstalovat patche. Většina botů to řeší velmi jednoduchým trikem: na většině systémů existuje soubor, který je ekvivalentem unixového souboru /etc/hosts. Do tohoto souboru se jednoduše vloží jména všeobecně známých serverů, které poskytují patche a update, a přiřadí se jim lokální adresa z rozsahu 127/8. Pokus o update tedy zkrachuje a vůbec neopustí uživatelův počítač.

Uživatel je tedy odstaven, zbývá se vypořádat s vnitřním nepřítelem, kterým je například předchozí pán počítače (zde nemluvíme o uživateli, ten o ničem nerozhoduje od doby, kdy se poprvé připojil na internet). Je tedy nutno vypudit ostatní boty a další chamraď, protože je možné, že bude třeba celý výkon počítače, navíc proč bychom se dělili o dobytá území?


V akci

Dnešní boti umožňují útočníkovi získat kompletní kontrolu nad počítačem. O tvůrcích botů hodně vypovídá, že velká část jejich výtvorů se snaží získat z počítače aktivační kódy a sériová čísla různých her. Ostatní funkce jsou taktéž zajímavé:
  • výpis procesů, jejich spouštění a ukončování
  • stažení dat přes FTP nebo HTTP
  • získání dat z registrů Windows
  • manipulace se službami operačního systému
  • získání e-mailových kontaktů uložených v počítači
  • monitorování síťové komunikace
  • spuštění vestavěné open proxy nebo open relay serveru
  • provedení DoS útoku (většinou několik druhů)

Jediným příkazem vydaným na botnetu je tak možno vymazat z internetu malou firmu, jejíž půlmegabitová linka rozhodně neodolá náporu několika tisíc botů, kterým někdo řekl, aby provedli DoS útok na její webový server.

Rovněž důležité je skrytí identity. Například kód Phatbot umožňuje skrýt identitu komunikačních uzlů jím vytvořené sítě a používá alespoň základní autentizaci mezi jednotlivými uzly. U Phatbota se jedná o heslo v čistém textu, ale všechno se vyvíjí a zcela jistě bude v blízké budoucnosti realitou botnet se silnou autentizací.

Právě zmíněný Phatbot je zdařilou ukázkou dalšího fenoménu – využívání open source softwaru. Tento bot používá komunikační protokol, který je založen na peer-to-peer protokolu WASTE – ten je v tomto případě obohacen o různé funkce nutné pro činnost bota.


Kdo je cílem

Média zatím věnují málo pozornosti botům, které jsou na vysoké technické úrovni. Toto opomíjení je dáno především minimálními viditelnými škodami. Pokud se má malware dočkat pozornosti médií, musí být rychlý, brutální a škody veliké. Mezi zástupce "populární" kategorie tak patří například Sasser, Saphire (Slammer) nebo Blaster – všechny spadají do kategorie bezhlavých trollů, kteří zničí všechno, co jim přijde do cesty.

Zmíněné vysoké škody, tolik přitahující pozornost mainstreamových médií, lze způsobit velkým korporacím pouze v případě primitivního malwaru, který zničí na co přijde. Boti jsou pro tyto korporace relativně neškodnou záležitostí, protože komunikace v jejich sítích jsou omezeny na nezbytné minimum. I když se tedy bot dostane řekněme do banky, již není schopen dostat se ven, přihlásit se na IRC a nelze jej tedy ovládat.

Jednoznačným cílem jsou tedy domácí uživatelé, kteří se málokdy starají o bezpečnost svých plechových miláčků. Těmto lidem sice vadí, že mají pomalejší počítač – dokonce si na to i stěžují, ale nejsou schopni s tím nic dělat, takže si časem zvyknou. Jejich počítače se tak čas od času zúčastní nějakého DoS útoku, popřípadě je jejich výpočetní výkon společně s kontakty v adresáři použit na rozesílání spamu.


-p6-
obrazek