Storm botnet: II. Popis a funkcie

04.01.2009 20:12 | triki

Toto je pokračovanie prvej časti seriálu o Strom botnete. V tejto časti sa bližšie pozrieme na špecifiká tohto botnetu.

Úvod do Storm Botnetu

Storm Botnet je práve jeden z tých "zlých" botnetov. Prvý krát bol objavený 17.1.2007. Tvoria ho počítače infikované pomocou malwaru zvaného Storm Worm. I keď pojmom malware označujeme skupinu vírusov, trojanov a rootkitov, Storm Worm nie je možné zaradiť výlučne ani do jednej z týchto rodín. Je to preto, že má vlastnosti a používa techniky všetkých z nich, a ďalšie. Storm Worm je známy pod rôznymi názvami u rôznych spoločností. V skratke u tých známejších sú to nasledovné:

  • Win32/Nuwar (ESET)
  • Trojan.Peacomm (Symantec)
  • W32/Zhelatin (F-Secure a Kaspersky)
  • Small.dam alebo Trojan-Downloader.Win32.Small.dam (F-Secure)
  • W32/Nuwar@MM a Downloader-BAI (McAfee)
  • Trojan.Peed, Trojan.Tibs (BitDefender)
  • Win32/Nuwar.N@MM!CME-711 (Windows Live OneCare)

Firma Microsoft počas jeho existencie eviduje až 200 000 rôznych variantov tohto malwaru. Šíril sa hlavne pomocou spamu s prílohami, ktoré ho obsahovali. Na začiatku inštaloval službu wincom32, spustil payload a odosielal vlastné pakety na miesta zakódované v malwari samotnom.

Vlastnosti, funkcie a zvláštnosti

Väčšina botnetov existúcich do vzniku Stormu sa špecializovala. Boli profilované buď na zber osobných informácií, či kradnutie prihlasovacích údajov alebo na šírenie spamu. Tomu boli prispôsobené aj ich vlastnosti a funkcie. Storm botnet bol jeden z prvých, ku ktorému tvorcovia pri vytváraní pristupovali ako k "švajčiarskemu nožíku". Storm je skutočne veľmi univerzálny a jeho vývoj musel stáť nemalé peniaze.

Tento botnet má štruktúru decentralizovanej siete cez distribuovanú hash tabuľku (používa algoritmus Kademlia). Na skrývanie riadiacich centier používa techniky fast-flux DNS (známe aj ako double-flux). Na skrývanie kódu na napadnutých počítačoch používa techniky rootkitov. Kód tohto malwaru je pravidelne aktualizovaný. Zistilo sa, že zdojové kódy sú s malými úpravami kompilované a balené (pakované) asi každé dve hodiny. Tým pádom vznikajú stále nové verzie a bezpečnostné systémy s algoritmom rozpoznávania založenom na princípe signatúr tak môžu mať problémy stíhať aktualizovať svoj softvér. Toto všetko mu pomáha zostať v utajení. V prípade, že by sa niekto predsa len pokúsil stopovať tento botnet a vykonávať pre neho podozrivé akcie, tento botnet odpovie DDoS útokom na takéhoto zvedavca. Výskumníci však stále jednoznačne nepotvrdili, či sa tak deje automatizovane alebo sú tieto útoky spustené ručne.

Storm botnet vie používať svoje menšie časti na rôzne účely a deliť medzi nich prácu. To znamená, že zatiaľ čo jedna časť sa môže sústediť na rozširovanie veľkosti botnetu, iná na rozosielanie spamu a pod. Takto vie pracovať na viacerých úlohách a efektívnejšie optimalizovať zisk zo svojej činnosti.

Na svoje šírenie používa asi všetky spôsoby v súčasnosti rozšírené. Šíri sa cez spam, zraniteľnosti webov a využíva aj zraniteľnosti systémov, a aplikácií. Z tých najviac využíva chyby softvéru od firiem Microsoft a Adobe.

Čo sa týka komunikácie v rámci botnetu, najviac používa eDonkey P2P sieť (Overnet). Je založený na princípe P2P a komunikáciu (od istého času) naviac kompletne šifruje. Implementovaný eDonkey(Overnet) protokol je skoro nemožné vypnúť. To veľmi sťažuje stopovanie a aj odhadnutie jeho veľkosti. Počítače si totiž pamätajú iba IP adresu nadradeného uzla. Na druhej strane, nevýhodou pre botnet je, že v prípade používania proxy alebo NAT, infikovaný počítač zostáva odrezaný od zvyšku botnetu a je nepoužiteľný pretože nevie komunikovať. Okrem tohto spôsobu podporuje aj iné protokoly. Potvrdené sú irc, http a ďalšie. Tie sú pripravené v prípade, že by komunikácia niektorým iným spôsobom zlyhala.

Ako sme spomenuli, kód je pravidelne updatovaný. Kým sa dostal do dnešnej podoby, prešiel dlhším vývojom. Je na ňom vidieť, že mu bola venovaná patričná pozornosť, je pravidelne testovaný a debugovaný. Spočiatku sa šíril ako nešifrovaný driver wincom32.sys. Neskôr pridali pakovanie a obfuskáciu kódu. Nasledovala P2P komunikácia v nešifrovanej podobe. Po nej pridali anti-virtualizačné a anti-debugovacie techniky, a "patchovanie" tcpip.sys. Nasledovalo pridanie šifrovania na P2P vrstve. Čo sa týka pridávania schopností, tak isto sa postupne vyvíjalo. Niektoré nepoužívané a nepotrebné schopnosti boli odoberané. Tento malware dokonca kontroluje svoje vlastné verzie. Na zabránenie používania starého kódu, ktorý by mohol obsahovať predchádzajúce chyby, používa blacklisting starších verzií. Ďalšou ochranou bolo aj rušenie procesov, ktoré používali anti-vírusové programy. Táto bola neskôr zdokonalená do novej podoby. Namiesto vypínania procesov programov, ktoré by mohli viesť k odhaleniu malwaru, Storm ich necháva bežať. Namiesto toho "patchuje" miesta spúšťania týchto procesov a tak všetky bežia bez podozrivého vypínania pre neho nežiadúcich procesov. Takto ale anti-vírusové programy nie sú schopné zachytiť jeho podozrivú aktivitu, teda bežia, ale nič nerobia.

Veľkosť tohto botnetu sa výskumníci snažili zisťovať už od jeho začiatkov. Vyskytli sa viaceré odhady a dohady. Vzhľadom na použitý typ komunikácie a architektúru jeho štruktúry je veľmi zložité povedať akú veľkosť daný botnet má. Keďže tieto odhady boli veľmi nepresné a nepodložené, spomenieme si len, že jeho veľkosť bola odhadovaná v čase svojho vrcholu (september 2007) niekde medzi 1 až 10 miliónov počítačov. Tento odhad bol neskôr korigovaný medzi hodnoty 0,5 až 1 milión infikovaných počítačov. Pre zaujímavosť, vyskytol sa aj odhad na 50 miliónov počítačov, neskôr upravený na 6 až 15 miliónov. Treba to však brať s dostatočnou rezervou, pretože len malé percento uzlov tejto siete bolo naraz v jednom momente online. Toto číslo znižovala neskôr aj detekcia a včasné odstraňovanie malwaru tohto botnetu z napadnutých počítačov. Odhadovalo sa, že životnosť infikovaného počítača bola v priemere 4 dni, čo svedčí aj o rýchlosti odpovede na hrozbu tohto botnetu zo strany bezpečnostných expertov a spoločností.

Storm botnet má vo svojom arzenáli viacero funkcií. Rozosiela spam na objednávku a kvôli šíreniu botnetu. Používa metódu vzorov (angl. templates). V novších verziách používa aj proxy pre niektoré služby a vie hostovať web-obsah. Vie vytvoriť ICMP a TCP SYN flood. Sťahuje a spúšťa súbory, čo používa aj pri funkcii updatovania.

Storm bol počas svojej existencie využitý na viacero činností. Hlavným bolo rozosielanie spamu. Rozosielal viacero typov spamu:

  • pdf súbory s vloženými obrázkami
  • excel súbory s vloženými obrázkami
  • mp3 súbory
  • plain-textové maily

Okrem toho odosielal phishinogé e-maily. Viedol DDoS útoky proti iným skupinám a organizáciám, a aj voči výskumníkom snažiacim sa stopovať a odhaliť činnosti tohto botnetu. Takto vlastne pokryl všetky funkcie botnetov, ktoré sme si spomenuli pri všeobecnej charakteristike botnetov. Bot vlastne prvý, ktorému sa podarilo všetky tieto techniky využiť v masovom meradle.

V ďalšej časti si zhrnieme históriu tohto botnetu až do súčasnosti.

Zdoje k tejto časti:

    • Re: Storm botnet: II. Popis a funkcie 05.01.2009 | 05:04
      Avatar ehmo   Používateľ

      pekne si to zatial zhrnul, no k tym odhadom o velkosti to je trosku inak. velkost botnetu je samozrejme brana v celom rozsahu, nielen podla aktualne funkcnych zombies, resp. zapnutych pc. cislo 50 mil sice mozno znie trosku prehnane, ale casom sa doslo na to, ze by to az tak vela byt nemuselo. samozrejme pravdepodobnejsie su cisla niekedo okolo 20mil.

      ked si vezmes, mayday, ktory dodnes nevedia ani len poriadne identifikovat sa pysi cca 2.5 mil botov a to sa zameriava takmer vylucne na velke spolocnosti a univerzity, kde sa postupne siri. su aj ine botnety, ako napriklad srizbi, ktory ma dnes odhadom niekolko milionov infikovanych stanic. popravde uz par 100k botov je obrovske cislo, no i tak sa tymto lidrom dari o dost viac. btw, sice je skvele ze sa venujes stormu ako priekopnikovi, mozno by si sa vsak mohol zamerat na ine botnety (napr tie predavane ako komercny sw, alebo rozne serverove boty, popripade napr srizbimu (aj ked o nom moc informacii nekoluje)).

      este chcem odporucit informacie od davida vorela a napriklad jeho objav botnetu 3alupko
      http://honeynet.cz/?mmenu=dom%F9&smenu_int=0&lang=cz&vmetr=1&news_id=79
      ------------------------------
      http://blog.synopsi.com

      ------------------------------ http://blog.synopsi.com
      • Re: Storm botnet: II. Popis a funkcie 05.01.2009 | 09:36
        Avatar triki   Používateľ

        Velkost je kazdopadne velmi tazke odhadnut. Duplom bez poskodenia etiky - vid ifikovanie Storm botnetu, kde si vyskumnici prakticky prepisovali kod malwaru stormu a modifikovali ho... Zaujimave je kazdopadne, ze ako sa tie cisla lisia. K tym 20mil. tusim prisli na to, ked nasli 2mil. botov a odhadli, ze to je asi 10% jeho sily. Je viacero skeptickych vyskumnikov, a i ja som v tomto zastancom merania velkosti v istom case. Je vidiet ze tieto botnety pracujuce na P2P(no nie len na tom) maju velku fluktuaciu ovladanych pocitacov.

        Trosku si ma predbehol, nejake slovo o MayDay mam spomenute v zavere - hlavne kvoli jeho schopnostiam komunikovat s klientom za NAT alebo proxy, s cim sa da povedat, ze maju dnesne botnety este problemy. Pri tomto botnete to bol podla mna zamer a ako vidno, celkom sa mu dari...

        Co sa tyka vyberu Storm botnetu - je to z historickych pricin, chcel som nieco o com je dost informacii a o tomto je toho asi najviacm zaroven sa zda, ze tvoril predlohu pre viacere dnesne botnety - preto Storm. Serial mam uz napisany, treba pridat este nejake linky a publish... botnetmi sa budem este zaujimat ovela blizsie, mozno z toho budu dalsie clanky, ked bude vela noveho... mozno aj technickejsie veci... uvidime

        a dakujem za ten 3alupko, pozriem sa na to ;)
        --
        The best way to predict future is to invent it...

        -- The best way to predict future is to invent it...
        • Re: Storm botnet: II. Popis a funkcie 06.01.2009 | 02:59
          Avatar ehmo   Používateľ

          existuju samozrejme aj ine formy ako ziskat velmi presny odhad poctu botov, ale to je na dlhsiu debatu a hlavne nie na verejne publikovanie. kazdopadne, cisla sa lisia hlavne preto, ze ich publikuju rozne spolocnosti, ktore sa snazia vzbudit co najvacsi rozruch okolo svojho mena. nechcem menovat, nemam dovod niekoho zbytocne spinit. kazdopadne, ver mi, ze 20 mil vobec nie je prehnane cislo. botnet milikiv ktory je postaveny len na distribuciu proxy a vpn ma dnes 2.9 mil botov. rastie velmi pomaly, aby si ho nik nevsimol. nijakym sposobom sa nezapaja do spamovania ani do ziadnych podobnych praktik, vznika podstate "rucne". jeho vysledky su potom predavane napriklad aj tu: https://anyproxy.net/

          vytvorit botnet o niekolko 100k botoch problem nie je hlavne na komercne distribuovanych botoch, ktore su dnes na celkom zaujimavej urovni. existuju velmi prijemne a jednoduche praktiky, ako sa tieto botnety mozu vytvarat skutocne bez nutnych hlbsich znalosti. nehovoriac o tom, ked dokazu vyuzit rootkit typu gmer (resp. pe386, keby ma niekto chcel napadnut ze gmer je anti-rootkit tool). tato problematika je velmi zaujimava, ale strasne obsirna a zlozita.

          uvidime, kam pojdu tvoje dalsie uvahy a zistenia, zatial inak pekne, ako som uz ostatne napisal
          ------------------------------
          http://blog.synopsi.com

          ------------------------------ http://blog.synopsi.com
          • Re: Storm botnet: II. Popis a funkcie 07.01.2009 | 00:49
            Avatar blackhole_tommyhot   Používateľ

            kazdopadne, ver mi, ze 20 mil vobec nie je prehnane cislo

            Co ked niekomu nestaci viera v teba a chce mat tvoje tvrdenie niecim podlozene? :)
            ----------
            tommyhot@hackingmachine:~$ microsoft &> /dev/null

            • Re: Storm botnet: II. Popis a funkcie 07.01.2009 | 01:39
              Avatar triki   Používateľ

              doveruj, ale preveruj...

              zlate pravidlo :)
              --
              The best way to predict future is to invent it...

              -- The best way to predict future is to invent it...
            • Re: Storm botnet: II. Popis a funkcie 07.01.2009 | 10:12
              Avatar ehmo   Používateľ

              pravda, nemal som to pisat takym familiarnym sposobom. ked chces dokaz, nauc sa RE, zacni sa pohybovat v urcitych kruhoch, alebo citaj bulvarne clanky na dsl.sk, kde sa dozvies skutocne fakty :)
              ------------------------------
              http://blog.synopsi.com

              ------------------------------ http://blog.synopsi.com
    • Re: Storm botnet: II. Popis a funkcie 05.01.2009 | 21:32
      Avatar blackhole   Návštevník

      velmi pekny clanok, pekne si to zhrnul a tesim sa na III pokracovanie ;)