DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne
For at komme de cirka 100.000 danske 'zombie'-pc'er til livs, så skal internetudbyderne samarbejde med myndighederne om at spærre for servere og eventuelt sætte den inficerede pc i karantæne. Det foreslår Dansk Industri i et oplæg til en national strategi for bekæmpelse af botnets.
Et botnet består af pc'er - i sammenhængen kaldet 'zombier' - der er inficeret med et program, som gør det muligt at kontrollere pc'en. Det er typisk en kombination af flere ondsindede programmer, som er blevet installeret, efter pc'en er blevet inficeret med en trojansk bagdør.
Den mest almindelige type botnet er afhængig af to typer servere:
Såkaldte Command & Control-servere og drop-servere. Det er disse to typer, som Dansk Industri vil have internetudbyderne til at blokere for.
Det skal ifølge Dansk Industri ske ved at oprette en myndighed, som kan udarbejde en sortliste over kendte servere, som bruges af botnets.
Sortlisten kan bruges til at spærre for DNS-opslag, når den inficerede klient forsøger at kontakte botnettets servere.
Det er dog ingen let opgave, da mange botnets anvender forskellige teknikker til netop at undgå at være afhængige af et enkelt DNS-opslag.
Dansk Industri foreslår også, at man i forbindelse med at overvåge trafikken til de ondsindede servere også kan identificere danske pc'er, der er inficeret.
For på længere sigt at få renset de såkaldte zombier, skal det være muligt for internetudbyderen at isolere en inficeret pc og eksempelvis vise brugeren en advarselsside, når han forsøger at tilgå en hjemmeside. Advarselssiden kan indeholde information om, hvordan han kan rense pc'en og eventuelt med kontaktinformation til en hotline, foreslår Dansk Industri.
Det er en teknik, som allerede anvendes på visse firmanetværk, hvor forskellige varianter af Network Access Control kan isolere en pc, som forsøger at logge på netværket, men mangler eksempelvis at installere en sikkerhedsopdatering eller køre en antivirusskanning.
Ifølge tal fra sikkerhedsfirmaet CSIS befinder der sig cirka 100.000 inficerede pc'er på den danske del af internettet. De inficerede pc'er bliver hovedsageligt anvendt af kriminelle til at udsende spam, men bagdørene kan også bruges til at stjæle eksempelvis kreditkortdata fra brugerne.
Dansk Industri foreslår også, at man som led i en national plan for bekæmpelse af botnet sørger for at overvåge danske websites for, om de bliver brugt til at sprede ondsindede programmer på grund af eksempelvis sikkerhedshuller i webapplikationer.
Web er i dag den mest udbredte metode til at sprede malware, og det sker ofte gennem helt legitime websteder.
Dansk Industri understreger, at det er vigtigt, at løsningerne bliver lavet på en måde, så de ikke krænker privatlivets fred. Derfor foreslår Dansk Industri, at man bør overveje løsninger, der er klientbaserede.
Kommentarer (19)
Jeg kan kun grine af det. Jeg undre mig over hvor folk få deres viden fra vedr. IT-sikkerhed.
Prøv at tag et kig på dette her: http://fireshark.org/
så kan man se hvor kompleks malware netværk / botnets der findes.
-
0 -
0
Til dem der ikke lige ved hvad det drejer sig om, et DNS opslag er slet ikke nødvendigt for at kontakte en server, det kan foregå direkte via IP adressen. IP adressen kan være kodet direkte ind i zombi softwaren, eller den tilvejebringes gennem et utal af forskellige, DNS systemet er blot det officielle værktøj.
Hvis det skal nytte noget så skal CnC serverne blokeres på IP niveau.
Edit:
Det er betydeligt bedre end slet ikke at gøre noget.
Nej, det er faktisk stort set ubrugeligt. Det vil kunne hjælpe en lille smule hvis man også IP blokerer, da hackerne så er afhængige af at skifte IP adresse, og dermed har brug for DNS eller et tilsvarende system.
-
0
-
0
Hej John,
Indtil videre har vi set 3 malware familier anvende denne form for backend kommunikation illustreret med Fireshark. Det du synliggør med dette værktøj er "chain of infection" og ikke den inficerede maskines evne til at ringe hjem. At håber hen over Google, Twitter osv udgør en promille i forhold til det samlede trusselsbillede. Det er PoC og ikke anvendeligt i en stabil BOT struktur. BOT herdere foretrækker derimod bullet proof hosting fremfor lag af seriøse serviceprovidere, som i dit eksempel typisk kan dræbes med et centralt indgreb.
/Peter
-
0
-
0
Hej Jacob,
At det er ubrugeligt tager jeg gerne et væddemål på når denne løsning forhåbentlig godkendes og vedtages.
Hovedparten af de komplekse BOTs anvender fast fluxing, så de kan kommunikere med flere IP adresser. På den måde undgår de null-routning.
Men dermed ikke være sagt, at en null-routning ikke kan komme på tale på sigt. Det er blot et mere intrusivt indgreb, da du med en IP blokering teoretisk risikerer følgeskader.
Venligst
Peter
-
0
-
0
Der er mindst to problemer ved dette forslag baseret på erfaringerne med det såkaldte "børneporno" filter.
1) Hvem skal bestemme hvilke DNS opslag der skal forfalskes eller hvilke IP adresser der skal blokeres? Erfaringerne fra BP filteret viser at der bliver blokeret rigtigt mange sider på et forkert grundlag.
2) Hvis man laver en blokering af botnet servere som går ud over den nuværende DNS blokering, vil the usual suspects med censurtilbøjeligheder (musikindustrien & friends) formentlig hurtigt melde sig og "forlange" at man også blokerer for påståede fildelingstjenester og andre sites som de ikke kan lide (alternativ distribution baseret på p2p, altså deres konkurrenter).
Det er en farlig glidebane, langt farligere end botnets.
-
0
-
0
Jeg synes at det er positivt at en organisation som DI går ud at siger at dagens sikkerhedsstandard udgør et samfundsmæssigt problem.
Løsningsforslagene er dog stort set det sædvanlige håbløse pjank. At fortsætte ad skråplanet med DNS-blokering vil IMHO skade internettet mere end godt er. Da det er ret enkelt at omgå har det desuden en ret så tvivlsom effekt.
Jeg savner et tiltag: Gør softwareudviklerne ansvarlige efter produktansvarsloven for skade sket som følge af klare sikkerhedsproblmer, der ikke bliver løst rettidigt.
Dét ville batte (hvis det blev indført internationalt).
-
0
-
0
Dét ville batte (hvis det blev indført internationalt).
Ja, vi er desværre nok kommet langt nok ned ad glidebanen til at alle tror og mener at "det er umuligt at lave noget sikkert" og at vi derfor "ligeså godt kan lade være med at prøve".
Og et liv uden Windows er reelt set utænkeligt for de fleste firmaer idag. Hvad skulle man så køre den outlook på som brugerne forlanger? :-)
-
0
-
0
Fast flux baseret på et domæne har hackerne brugt fordi ingen indtil nu har forhindret dem i det, de kan lave deres bots om længe inden sådan en lov bliver vedtaget, men lur mig om ikke de fleste allerede har et fallback system i tilfælde af at de skulle miste deres domæne.
Prøv at tænk som en botnetejer. Kunne jeg måske bare bruge en alternativ DNS service? I mange tilfælde ja. Hvis ikke så kunne man jo gå igennem en af de tusindvis af gratis webproxyer, så slipper man i hvert fald let for danske DNS servere. Hvis det går helt galt så kunne man jo også bare lade botsne selv opretholde en liste over tilgængelige kontrolcentre, de skal så bare periodisk have en kommando som opdaterer listen. Og der er garanteret masser af andre ting at gøre som jeg ikke lige har tænkt på.
-
0
-
0
Hej Jacob,
Jeg mener ikke at vi kan diskutere hvorvidt dette vil fungere eller ej ved udelukkende at fokusere på hvordan det kan omgås. Vi kan alligevel ikke lave et indgreb der forhindrer alle tænkelige og utænkelige scenarier.
Jeg vil hellere fokusere på at et indgreb som dette og med et walled garden initiativ kan mindske antallet af BOT inficerede maskiner i Danmark.
/Peter
-
0
-
0
Hovedparten af de komplekse BOTs anvender fast fluxing, så de kan kommunikere med flere IP adresser. På den måde undgår de null-routning.
Problemet er at hvis et computerprogram vil snakke med omverdenen så kan det -- hvis computerens funktionalitet skal være bare nogenlunde til rådighed. Ethvert tiltag som kører et våbenkapløb er dømt til at fejle: Der er simpelthen for mange nemme modtræk.
Computerne bliver inficeret grundet to ting: Enormt store angrebsflader gør det ovenud nemt at komme ind og derefter gemme sig. Og ringe overvågning af maskinerne gør det forholdsvist nemt for en zombie at ringe hjem. Hele formålet med et DNS-blok er en øvelse som "fixer" problemet når skaden er sket. Det er en ommer. Null-routing er også en ommer: proxying findes.
Jeg vil gætte på man kommer længere ved at vælge systemer med gode track-records når det gælder indbrud. En angriber skal ind på systemet først og det viser sig at være nemmere visse steder end andre.
-
0
-
0
Godt indlæg Jesper, men lige en enkelt kommentar.
Ethvert tiltag som kører et våbenkapløb er dømt til at fejle: Der er simpelthen for mange nemme modtræk.
Vi skal ikke sige at det ikke kan lade sig gøre at presse dem, og i hvert fald bringe bot tallet ned, men det kræver at vi kan reagere langt hurtigere end hvad der muligt hvis administrationen er et bureaukratisk system, og så vil det også gøre en kæmpe forskel om vi kan få udlandet med.
I praksis har du muligvis ret, men jeg synes ikke at vi helt skal afvise at kigge på mulighederne.
-
0
-
0
Hej Jesper
ja lige netop...vi kan bare se hvordan det tog en offientlig virksomhed næsten 2 måneder at finde ud af at Ø også kan staves "oe" på internettet..
-
0
-
0
Prøv nu at tænke som kriminel.
Vil jeg bruge min egen server, eller vil jeg 'overtage' andres servere?
Think dog yourself a little about.
Fokúser hellere på at sikre serverne (årsagsbehandling) i stedet for symptombehandling.
-
0
-
0
Jeg forstår ærligt talt ikke hvorfor folk ikke bare installerer noget ordentligt antivirus på deres computer.
Der findes så mange gratis, og super effektive antivirusprogrammer. Her er en liste http://virus-fri.nu/
-
0
-
0
@Stig,
Tja, det afhænger af formålet!
Blackhat SEO, Drive-by, spam:
kompromitterede webservere, VPS, zombie maskiner
C&C:
Bullet Proof Hosting med fallbacks
Dropsites:
Bullet Proof Hosting (offshore)
-
0
-
0
Jeg forstår ærligt talt ikke hvorfor folk ikke bare installerer noget ordentligt antivirus på deres computer.
Måske fordi der ikke findes ordentlig antivirus? Masser af de her bots har et antivirusprogram installeret, men det første en seriøs virus gør når den har fået adgang til at afvikle kode er at ødelægge antivirusprogrammer, helst ikke så brugeren kan se det, blot så scanningen ikke virker.
-
0
-
0
Fordi det ikke er effektiv, har set virus og malware på mange maskiner med et kørende antikvirus program. (Fra mange producenter)
Antivirus kan faktisk f*** en maskine mere effektiv op, ind en virus, da virus programøren er interesseret i en kørende PC-er. (Du vil blive mistænkelig hvis du plusenligt føler du har fået en 100 Mhz Celron i stedet for din 4 Kerners CPU
Antivirus bruger mange system resurser, og sløver PC.
mvh
-
0
-
0
