Mange botnets ligner hinanden, men en gang imellem er der alligevel et, der skiller sig ud.
Det fortæller ZDNet, som har fået øje på en beretning fra det kinesiske sikkerhedsfirma Qihoo 360.
Firmaet har spottet et botnet til kryptomining. Det vil sige, at inficerede klienter bidrager med processorkraft til at udvinde kryptovaluta for personen eller personerne bag.
Det er nu ikke kryptominingsdelen, der er det bemærkelsesværdige ved botnettet, men den måde, kommunikationen i nettet fungerer på.
Botter - altså de malware-inficerede klienter - kobler typisk op til en command & control-server. C&C-serveren bliver brugt af bagmændene til at fjernstyre botterne med. Eksempelvis 'udfør DDoS-angreb mod ip x.x.x.x'.
Reverse proxy
Netlab ved Qihoo har imidlertid opdaget et botnet, der i stedet for at forbinde direkte til en C&C-server kommunikerer via en reverse proxy-løsning.
Nærmere bestemt er der tale om tjenesten ngrok.com, som gør det muligt for brugere på internettet at koble sig til servere, der ellers ligger bag en firewall eller på maskiner, der ikke har en offentlig ip-adresse.
Ifølge ZDNets udlægning er tjenesten populær blandt virksomheder, fordi ansatte på den måde kan koble op til en organisations intranet. Tjenesten bliver efter sigende også brugt af freelance-udviklere til at give kunder adgang til at se, hvordan udviklingen af applikationer forløber.
Som regel fungerer ngrok ifølge ZDnet ved, at en bruger hoster en server på en lokal maskine. Brugeren registrerer sig herefter ved ngrok og bliver tildelt en offentligt tilgængelig url med følgende format: [tilfældig_streng].ngrok.io
Url'en kan så deles med eksempelvis en kunde.
Midlertidige adresser
Hvad føromtalte botnet angår, så har personen eller personerne bag ifølge Hui Wang fra Netlab lagt deres C&C-server bag ngrok. Så de inficerede klienter har altså kommunikeret med en ngrok-adresse og ikke direkte med C&C-serveren.
Udover at give folkene bag en vis anonymitet så skulle det også gøre det vanskeligere for sikkerhedsforskere at lukke ned for botnettet.
Det skyldes ifølge Hui, at ngrok-urlen højst er tilgængelig i 12 timer, hvorefter den aktive ngrok-C&C-url skifter til en ny adresse.
ZDnet fortæller, at sikkerhedsforskere normalt kan pille et botnet ned, ved at anmelde kommunikationen til et specifikt c&c-domæne for abuse til en udbyder. Men den proces skulle altså være vanskeliggjort i forhold til det pågældende kryptominer-botnet på grund af de skiftende domænenavne.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
