A botnet (robot network) sok számítógépek irányított támadása. A gépek luzerek otthoni gépei amiket a hackerek egy programmal irányítanak, ez az ötödik hadoszlop. Csak akkor szereznek róla tudomást ha a hatóság kopogtat az ajtón. Ha ez bekövetkezik a gép átadhatja vezérlését egy másik gépnek, aki sajátjaként kezelheti a hálózatot, vagy akár beolvaszthatja saját hálózatába. Az is elképzelhető azonban, hogy a botnetről lemond a hacker a biztonsága érdekében így gazdátlanná válik és lebukik. A botnethez szükséges rosszindulatú kód többnyire e-maileken keresztül terjed, de a biztonsági rések kiskapuk sokat segítenek a hackereknek. Néha elég egy jelszó egy trójai által hagyott kiskapu. A cél a távvezérlés megkaparintása. Az internet első botnetei kliens-szerver modellt használtak. A távvezérlés könnyen átvehető, mert az adott rosszindulatú kód például nem tartalmaz hitelesítést, bárki vezérelheti a kódot és így átveheti a gép irányítását. A botnet létrehozásához olyan egyszerű támadásokat is fel lehet használni, mint a jelszavak kitalálása, próbálgatása. Az RBot a 139-es és 445-ös portokra próbál csatlakozni és a botnak egy beépített listája van a tipikus felhasználói nevekről, amelyekkel csatlakozni próbál. Ezt egy profi rögtön észre veszi, mert a belépési kísérleteket a megtámadott gép eseménynaplója is tartalmazhatja. Mindig van egy irányító központ ahova a Botnet- kliensek csatlakoznak, az IRC szerver egy megadott csatornájára, és a zombi hadsereg, a bootok csak a parancsra várnak a koordinált támadáshoz. A hacker azt is figyelemmel kísérheti, hogy esetleg a fertőzött gépen üzemel-e vírusírtó, tűzfal, ha kell eltávolíthatja, vagy deaktiválhatja. Hasonlóan járhat el az antivírus-programok és más védelmi szoftverek esetében. A centralizált botnetek ahol csak 1-2 vezérlő van; könnyű felderíteni és van a Peer-to-Peer (P2P) botnetek: Ilyen esetben nincs központi vezérlô, a botnet elemei egymással kommunikálnak. A támadó a parancsot egy botnak adja ki, mely továbbítja ezt a többi bot felé, ez a leghatékonyabb. A szolgáltatás-megtagadásos támadás, hatalmas erôforrásait felhasználva felemésztheti a célpontok erôforrásait, megbénítva azokat. A spamok gépek százainak segítségével bénítja meg a célpontot. A botnet, óriási tárolókapacitással rendelkező háttértárat is jelent a hackernek. Adatokat, neveket, jelszavakat, e-mail címeket kaparintanak meg mint egy spy csak hatékonyabban. A botnetek felfedezése két módon történhet: A profi vírusirtó programok vagy behatolás felismerő rendszerek (IDS, Intrusion Detection System) segítségével találja meg. A behatolás-észlelő rendszer ( IDS, HIDS vagy NIDS. ) olyan eszköz vagy szoftveralkalmazás, amely figyeli a hálózatot vagy a rendszereket rosszindulatú tevékenységeket. Ez akkor lenne igazán sikeres, ha minden felhasználó rendszeresen használna vírusirtót, hiszen így garantálni lehetne a védelmet az ismert botnetek terjedése, fenntartása ellen. A felhasználói szintű védekezés azonban nem mindig lehet sikeres: sok esetben a felhasználók jelentős részénél a rosszindulatú kód hosszú időn át futásképes marad és a botnetek mérete csak csökken, de csökkent méretben is igen nagy kapacitással rendelkeznek. A rendszer szinten alkalmazott antivírus szoftver naplófájljainak központilag történő gyűjtése jó megoldás lehet. A profik előre meghatározzák milyen portokat használhatnak az alkalmazások és a sávszélességet is leredukálják. Az ismert kártevő kódját felhasználják a vírusirtók a keresésre. A másik mód a heurisztikus eljárás, amivel olyan kártékony kódokat is képesek felismerni, amelyeknek a lenyomata még nem szerepel az adatbázisban. Hátránya hogy nagy a hibalehetőség. A hacher vagy bootgazda felderítésére és felelősségre vonására nincs sok esély, a támadók lépéselőnye miatt a védelmi szoftverek előtt járva mindig használhatnak olyan módszereket, amelyekre a védelmi szoftverek még nem készültek fel. A hálózat monitorozása forgalom lehallgatással is történhet, a rendszer a felhasználóktól és a botok kódjától is teljesen független, így az ismert forgalmi mintával rendelkező botok könnyen kiszűrhetőek, valamint a forgalomból bizonyos esetekben következtetni lehet a támadó kilétére is. Ennek következtében a felelősségre vonás is nagyobb eséllyel történhet meg, mint a felhasználói szintű védelem esetében. A legjobb a csapdagépek és csapdahálózatok (honeypotok és honeynetek) és a behatolásdetektálás (IDS, Intrusion Detection System) együttes alklamazása. Persze egy IDS is mûködhet lenyomatok (szekvenciák, illetve szignatúrák) alapján, illetve alkalmazhat valamiféle heurisztikus módszert, ez utóbbit anomália-detekciónak is nevezik. Darknetek és Honeypotok is hatékonyak lehetnek, olyan IP tartományokat alkalmaznak, amelyek ugyan le vannak foglalva és az útvonalválasztás is működik hozzájuk, de kamu hálózatok. Az ilyen nem használt internetes címtartományokat nevezik darknetnek. A honeypotok gyűjtött adatainak integrálása, közös kezelése is megoldható, ezt általában honeynetnek hívjuk. Az emuláció során a káros kód (botnet kliens) letöltődik, de a csapdát felállító fél anélkül vizsgálhatja, ismerheti meg azt, hogy az valójában lefutna. Itt lépnek be a képbe a kapcsolók (switchek), vagy az útvonalválasztók (routerek) naplói. A Cisco által kifejlesztett Netflow áramlásfigyelője jelenti a megoldást. Ez egy tárolási formátum és egyszerre egy vizsgálati módszer is. Ha mi hozunk létre zombi hálózatot saját csapdájába csaljuk a hackert.
Nincsenek megjegyzések:
Megjegyzés küldése