Forskere: Sådan kidnappede vi et botnet

180.000 inficerede zombie-computere i botnettet Torpig var i 10 dage under amerikanske forskeres kontrol. De indsamlede blandt andet 300.000 passwords og 1.600 kreditkortnumre, inden hackerne stjal deres botnet tilbage.

En vellykket kidnapning af et potent botnet har givet et sjældent indblik i, hvordan et botnet opfører sig og hvor mange oplysninger, der bliver afluret hos de inficerede computere. Samtidigt viste det sig, at størrelsen af botnet typisk bliver overdrevet en del.

Otte forskere fra University of California fik i slutningen af januar magten over botnettet Torpig og kunne dermed styre de 180.000 inficerede zombie-computere. I løbet af ti dage fik forskerne tilsendt 70 gigabyte personlige data fra zombierne, inden hackerne igen fik taget kontrol over botnettet.

Kidnapningen skete ved at gennemskue botnettets opdaterings-rutine, hvor nye domænenavne blev genereret løbende og kontaktet for nye instrukser. Forskerne kunne med hjælp fra internetudbydere registrere en række domæner, inden botnettets bagmænd fik gjort det samme, og dermed give zombierne besked om, at det nu var en ny server, de skulle sende de indhøstede oplysninger til.

I en videnskabelig artikel om manøvren fortæller forskerne, hvilke oplysninger de kunne få fra de inficerede computere.

1770 Paypal-konti på et sølvfad

For eksempel høstede malwaren på de inficerede computere i løbet af de ti dage næsten 300.000 passwords med tilhørende brugernavne.

Login-oplysninger fra 400 websider for finansielle selskaber blev fremhævet, så forskerne fik for eksempel serveret 1.770 Paypal-konti på et sølvfad. Konto-numre og betalingskortdetaljer væltede også ind på forskernes falske kontrol-server.

I 38 procent af tilfældene hentede malwaren blot passwords og brugernavne via browserens huske-funktion, så det ikke var nødvendigt at vente på, at brugeren selv loggede ind.

Forskerne noterer også, at mange af login-oplysningerne er til sociale medier som Facebook eller Linkedin, hvilket vil gøre det nemt for hackere at målrette et phishing-angreb til en enkelt person. En af de ramte var således direktør for en teknologivirksomhed, kunne forskerne se i den Linkedin-profil, vedkommende loggede ind på. Og samme person loggede også ind på flere porno-websider, noterer de.

Botnet-størrelser bliver overvurderet
Et andet resultat af kidnapningen var, at forskerne kunne se nøjagtigt, hvor mange zombier botnettet bestod af, i forhold til hvor mange IP-adresser, der kontaktede kontrol-serveren.

Tallet er interessant, da antallet af forskellige IP-adresser tit bruges til at anslå størrelsen af et botnet, og forskerne fandt frem til, at knap syv gange så mange IP-adresser melder sig hos kontrol-serveren end der er zombier. Det betyder, at størelsen af mange botnet i tidens løb er blevet ganske overvurderet.

Efter ti dage slog hackerne bag botnettet til og fik igen den fulde kontrol over Torpig-zombierne. Det skete ved at bruge det "moder-botnet", der i første omgang havde installeret Torpig-malwaren på de inficerede computere.

Samarbejdede med FBI
De etiske overvejelser ved at høste disse stærkt personlige oplysninger fylder ikke meget i artiklen, udover at forskerne skriver, at de har holdt alle data tæt ind til kroppen og brugt stærk kryptering, samt samarbejdet med FBI og andre myndigheder undervejs.

Kommunikationen mellem zombier og kontrol-serveren var i øvrigt krypteret fra bagmændenes hånd, men krypteringen var ikke specielt kompliceret og blev brudt sidste år, hvilket gav forskerne nem adgang til oplysningerne.

I marts måned var journalister fra den britiske tv-koncern BBC ude i en tilsvarende øvelse, men købte kontrol over et mindre botnet til markedspris.

Journalisterne brugte de inficerede computere til at sende spam og udføre distribuerede denial-of-service-angreb på en server, de selv kontrollerede. Til sidst sendte journalisterne en meddelelse til ejerne af zombierne om, at computeren var inficeret, ved at ændre pauseskærmen. Det førte til kritik fra mange kanter, at den hæderkronede tv-station brugte et botnet så aktivt.

Læs forskernes artikel via fanen 'eksterne links'.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Henrik Jensen

Jeg troede ikke at man kunne registrere et domæne uden at identificere sig. Hvis botnet bagmændene bruger nye domæne navne kan man vel bare knalde dem via registranten?

Desværre ALT for let hos mange registratorer. Tag bare dine spam emails i din indboks én efter én og slå domænenavnet på på den hjemmeside der bliver reklameret for i mail'en, så vil du se at praktisk taget 100% af dem er registreret under enten falsk navn/adresse (tilfældige uskyldige personer) eller personer som slet ikke eksisterer. Og betaling det kan så ofte være via stjålet kreditkort, prepaid kreditkort betalt med kontanter eller via en eller anden form for online betalingsudbyder som ikke går op i at kontrollere identitet. :-(

Hvis ikke ovenstående var tilfældet så ville det bestemt være langt lettere at komme f.eks. spam til til livs.

  • 0
  • 0
Log ind eller Opret konto for at kommentere