DI: Udryd 100.000 danske zombier med DNS-spærring og karantæne

Internetudbyderne skal blokere for de servere, der bruges af botnets til at styre og indsamle data fra de cirka 100.000 pc'er i Danmark, som er inficeret med virus. Samtidig skal pc'erne kunne sættes i karantæne.

For at komme de cirka 100.000 danske 'zombie'-pc'er til livs, så skal internetudbyderne samarbejde med myndighederne om at spærre for servere og eventuelt sætte den inficerede pc i karantæne. Det foreslår Dansk Industri i et oplæg til en national strategi for bekæmpelse af botnets.

Et botnet består af pc'er - i sammenhængen kaldet 'zombier' - der er inficeret med et program, som gør det muligt at kontrollere pc'en. Det er typisk en kombination af flere ondsindede programmer, som er blevet installeret, efter pc'en er blevet inficeret med en trojansk bagdør.

Den mest almindelige type botnet er afhængig af to typer servere:

Såkaldte Command & Control-servere og drop-servere. Det er disse to typer, som Dansk Industri vil have internetudbyderne til at blokere for.

Det skal ifølge Dansk Industri ske ved at oprette en myndighed, som kan udarbejde en sortliste over kendte servere, som bruges af botnets.

Sortlisten kan bruges til at spærre for DNS-opslag, når den inficerede klient forsøger at kontakte botnettets servere.

Det er dog ingen let opgave, da mange botnets anvender forskellige teknikker til netop at undgå at være afhængige af et enkelt DNS-opslag.

Dansk Industri foreslår også, at man i forbindelse med at overvåge trafikken til de ondsindede servere også kan identificere danske pc'er, der er inficeret.

For på længere sigt at få renset de såkaldte zombier, skal det være muligt for internetudbyderen at isolere en inficeret pc og eksempelvis vise brugeren en advarselsside, når han forsøger at tilgå en hjemmeside. Advarselssiden kan indeholde information om, hvordan han kan rense pc'en og eventuelt med kontaktinformation til en hotline, foreslår Dansk Industri.

Det er en teknik, som allerede anvendes på visse firmanetværk, hvor forskellige varianter af Network Access Control kan isolere en pc, som forsøger at logge på netværket, men mangler eksempelvis at installere en sikkerhedsopdatering eller køre en antivirusskanning.

Ifølge tal fra sikkerhedsfirmaet CSIS befinder der sig cirka 100.000 inficerede pc'er på den danske del af internettet. De inficerede pc'er bliver hovedsageligt anvendt af kriminelle til at udsende spam, men bagdørene kan også bruges til at stjæle eksempelvis kreditkortdata fra brugerne.

Dansk Industri foreslår også, at man som led i en national plan for bekæmpelse af botnet sørger for at overvåge danske websites for, om de bliver brugt til at sprede ondsindede programmer på grund af eksempelvis sikkerhedshuller i webapplikationer.

Web er i dag den mest udbredte metode til at sprede malware, og det sker ofte gennem helt legitime websteder.

Dansk Industri understreger, at det er vigtigt, at løsningerne bliver lavet på en måde, så de ikke krænker privatlivets fred. Derfor foreslår Dansk Industri, at man bør overveje løsninger, der er klientbaserede.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Jacob Christian Munch-Andersen

Til dem der ikke lige ved hvad det drejer sig om, et DNS opslag er slet ikke nødvendigt for at kontakte en server, det kan foregå direkte via IP adressen. IP adressen kan være kodet direkte ind i zombi softwaren, eller den tilvejebringes gennem et utal af forskellige, DNS systemet er blot det officielle værktøj.

Hvis det skal nytte noget så skal CnC serverne blokeres på IP niveau.

Edit:

Det er betydeligt bedre end slet ikke at gøre noget.

Nej, det er faktisk stort set ubrugeligt. Det vil kunne hjælpe en lille smule hvis man også IP blokerer, da hackerne så er afhængige af at skifte IP adresse, og dermed har brug for DNS eller et tilsvarende system.

  • 0
  • 0
#5 Peter Kruse

Hej John,

Indtil videre har vi set 3 malware familier anvende denne form for backend kommunikation illustreret med Fireshark. Det du synliggør med dette værktøj er "chain of infection" og ikke den inficerede maskines evne til at ringe hjem. At håber hen over Google, Twitter osv udgør en promille i forhold til det samlede trusselsbillede. Det er PoC og ikke anvendeligt i en stabil BOT struktur. BOT herdere foretrækker derimod bullet proof hosting fremfor lag af seriøse serviceprovidere, som i dit eksempel typisk kan dræbes med et centralt indgreb.

/Peter

  • 0
  • 0
#6 Peter Kruse

Hej Jacob,

At det er ubrugeligt tager jeg gerne et væddemål på når denne løsning forhåbentlig godkendes og vedtages.

Hovedparten af de komplekse BOTs anvender fast fluxing, så de kan kommunikere med flere IP adresser. På den måde undgår de null-routning.

Men dermed ikke være sagt, at en null-routning ikke kan komme på tale på sigt. Det er blot et mere intrusivt indgreb, da du med en IP blokering teoretisk risikerer følgeskader.

Venligst Peter

  • 0
  • 0
#7 Jesper Lund

Der er mindst to problemer ved dette forslag baseret på erfaringerne med det såkaldte "børneporno" filter.

1) Hvem skal bestemme hvilke DNS opslag der skal forfalskes eller hvilke IP adresser der skal blokeres? Erfaringerne fra BP filteret viser at der bliver blokeret rigtigt mange sider på et forkert grundlag.

2) Hvis man laver en blokering af botnet servere som går ud over den nuværende DNS blokering, vil the usual suspects med censurtilbøjeligheder (musikindustrien & friends) formentlig hurtigt melde sig og "forlange" at man også blokerer for påståede fildelingstjenester og andre sites som de ikke kan lide (alternativ distribution baseret på p2p, altså deres konkurrenter).

Det er en farlig glidebane, langt farligere end botnets.

  • 0
  • 0
#8 Peter Makholm Blogger

Jeg synes at det er positivt at en organisation som DI går ud at siger at dagens sikkerhedsstandard udgør et samfundsmæssigt problem.

Løsningsforslagene er dog stort set det sædvanlige håbløse pjank. At fortsætte ad skråplanet med DNS-blokering vil IMHO skade internettet mere end godt er. Da det er ret enkelt at omgå har det desuden en ret så tvivlsom effekt.

Jeg savner et tiltag: Gør softwareudviklerne ansvarlige efter produktansvarsloven for skade sket som følge af klare sikkerhedsproblmer, der ikke bliver løst rettidigt.

Dét ville batte (hvis det blev indført internationalt).

  • 0
  • 0
#9 Poul Pedersen

Dét ville batte (hvis det blev indført internationalt).

Ja, vi er desværre nok kommet langt nok ned ad glidebanen til at alle tror og mener at "det er umuligt at lave noget sikkert" og at vi derfor "ligeså godt kan lade være med at prøve".

Og et liv uden Windows er reelt set utænkeligt for de fleste firmaer idag. Hvad skulle man så køre den outlook på som brugerne forlanger? :-)

  • 0
  • 0
#10 Jacob Christian Munch-Andersen

Fast flux baseret på et domæne har hackerne brugt fordi ingen indtil nu har forhindret dem i det, de kan lave deres bots om længe inden sådan en lov bliver vedtaget, men lur mig om ikke de fleste allerede har et fallback system i tilfælde af at de skulle miste deres domæne.

Prøv at tænk som en botnetejer. Kunne jeg måske bare bruge en alternativ DNS service? I mange tilfælde ja. Hvis ikke så kunne man jo gå igennem en af de tusindvis af gratis webproxyer, så slipper man i hvert fald let for danske DNS servere. Hvis det går helt galt så kunne man jo også bare lade botsne selv opretholde en liste over tilgængelige kontrolcentre, de skal så bare periodisk have en kommando som opdaterer listen. Og der er garanteret masser af andre ting at gøre som jeg ikke lige har tænkt på.

  • 0
  • 0
#11 Peter Kruse

Hej Jacob,

Jeg mener ikke at vi kan diskutere hvorvidt dette vil fungere eller ej ved udelukkende at fokusere på hvordan det kan omgås. Vi kan alligevel ikke lave et indgreb der forhindrer alle tænkelige og utænkelige scenarier.

Jeg vil hellere fokusere på at et indgreb som dette og med et walled garden initiativ kan mindske antallet af BOT inficerede maskiner i Danmark.

/Peter

  • 0
  • 0
#12 Jesper Louis Andersen

Hovedparten af de komplekse BOTs anvender fast fluxing, så de kan kommunikere med flere IP adresser. På den måde undgår de null-routning.

Problemet er at hvis et computerprogram vil snakke med omverdenen så kan det -- hvis computerens funktionalitet skal være bare nogenlunde til rådighed. Ethvert tiltag som kører et våbenkapløb er dømt til at fejle: Der er simpelthen for mange nemme modtræk.

Computerne bliver inficeret grundet to ting: Enormt store angrebsflader gør det ovenud nemt at komme ind og derefter gemme sig. Og ringe overvågning af maskinerne gør det forholdsvist nemt for en zombie at ringe hjem. Hele formålet med et DNS-blok er en øvelse som "fixer" problemet når skaden er sket. Det er en ommer. Null-routing er også en ommer: proxying findes.

Jeg vil gætte på man kommer længere ved at vælge systemer med gode track-records når det gælder indbrud. En angriber skal ind på systemet først og det viser sig at være nemmere visse steder end andre.

  • 0
  • 0
#13 Jacob Christian Munch-Andersen

Godt indlæg Jesper, men lige en enkelt kommentar.

Ethvert tiltag som kører et våbenkapløb er dømt til at fejle: Der er simpelthen for mange nemme modtræk.

Vi skal ikke sige at det ikke kan lade sig gøre at presse dem, og i hvert fald bringe bot tallet ned, men det kræver at vi kan reagere langt hurtigere end hvad der muligt hvis administrationen er et bureaukratisk system, og så vil det også gøre en kæmpe forskel om vi kan få udlandet med.

I praksis har du muligvis ret, men jeg synes ikke at vi helt skal afvise at kigge på mulighederne.

  • 0
  • 0
#15 Anonym

Prøv nu at tænke som kriminel.

Vil jeg bruge min egen server, eller vil jeg 'overtage' andres servere?

Think dog yourself a little about.

Fokúser hellere på at sikre serverne (årsagsbehandling) i stedet for symptombehandling.

  • 0
  • 0
#18 Jacob Christian Munch-Andersen

Jeg forstår ærligt talt ikke hvorfor folk ikke bare installerer noget ordentligt antivirus på deres computer.

Måske fordi der ikke findes ordentlig antivirus? Masser af de her bots har et antivirusprogram installeret, men det første en seriøs virus gør når den har fået adgang til at afvikle kode er at ødelægge antivirusprogrammer, helst ikke så brugeren kan se det, blot så scanningen ikke virker.

  • 0
  • 0
#19 s_ mejlhede

Fordi det ikke er effektiv, har set virus og malware på mange maskiner med et kørende antikvirus program. (Fra mange producenter)

Antivirus kan faktisk f*** en maskine mere effektiv op, ind en virus, da virus programøren er interesseret i en kørende PC-er. (Du vil blive mistænkelig hvis du plusenligt føler du har fået en 100 Mhz Celron i stedet for din 4 Kerners CPU

Antivirus bruger mange system resurser, og sløver PC. mvh

  • 0
  • 0
Log ind eller Opret konto for at kommentere