Tag Archives: botnät

CSI Redmond – Microsoft tar lagen i egna händer

Microsoft har länge varit en stor privat aktör i kampen mot nätbrott och har nu i veckan utkämpat sin hittills största strid mot organiserad brottslighet på nätet. Tillsammans med amerikanska myndigheter och ett antal andra företag har man lyckats att stänga ner två datacenter i Pennsylvania och Illinois som ingick i botnätet Zeus (som det anstår varje hemlig insats hittade man även på ett fint kodnamn – tillslaget kallades Operation b71).

Enligt Microsoft ska Zeus ha kontrollerat mer än 13 miljoner datorer över hela världen. Som vanligt har datorerna i Zeus-botnätet använts för att skicka enorma mängder spam, men man har även lyckats komma åt en hel del pengar. Aktörerna bakom Zeus har på 5 år lyckats att stjäla närmare 100 miljoner dollar. Det kunde man göra tack vare funktionerna i botnätsklienten, som gör det möjligt att läsa av inloggningsuppgifter till banktjänster.


Microsofts tillslag mot Zeus var kraftfullt, men förmodligen ändå bara en droppe i havet. Det är självklart bra att vi har blivit av med ytterligare ett botnät, men det finns otroligt många noder, nät och infekterade klienter kvar och nya infektioner sker hela tiden. Ur den synvinkeln för vi en ganska meningslös kamp. De man måste rikta uppmärksamheten mot är de som skriver, säljer och använder den mjukvara som gör det möjligt för brottslingar att skapa, underhålla och styra botnäten.

Med det sagt måste jag säga att Microsofts roll detta är väldigt intressant.

De är en drivande kraft som inte bara ingått i en teknisk, utan även en juridisk allians. Det här är ett av få fall jag känner till där företag har tagit så stor del av kommandot i en brottsutredning och frågan är om det egentligen inte borde vara primärt statens uppgift att jaga och lagföra brottslingar? Syftet är naturligtvis bra, men det är viktigt i ett stabilt rättssamhälle att det stannar vid att man kan överlämna information och eventuellt passivt bistå med ytterligare uppgifter.

ESET siar om cyberhotåret 2012: mobilattacker, botnät och riktade attacker

ESET:s samlade säkerhetsexperter världen över har sammanställt en lista över hur vi tror att hotlandskapet på nätet kommer att se ut under 2012. Högst upp på listan finns hot mot smart­phones. Android har vuxit i rasande fart och kommer att utgöra huvudfokus för cyber­skurkar som inriktar sig på mobila enheter.

Vi estimerar att topp fyra kommer att se ut ungefär såhär:

  • Mobila attacker
  • Hot mot Windows 7
  • Riktade attacker
  • Stärkt social engineering

Under 2011 har vi sett ett flertal varianter av skadlig kod riktad mot mobila enheter, så som SMS-trojaner som infekterar mobiltelefoner och orsakar ofrivilliga SMS-utskick till dyra nummer samt mobila botnät som förvandlar en mobil enhet till en hub för kriminella ändamål. Under 2012 kan vi också räkna med att se mer spyware (som till exempel SpyEye och Zeus som härjade i juli i år) och andra hot för mobila enheter, som blir mer och mer utsatta genom ökad lagring av känslig infor­mation.

I oktober i år hade ESET identifierat 41 varianter av skadlig kod för Android, där 30% av hoten låg gömda i nedladdningar från Android Market, 37% var SMS-trojaner och 60% av den skadliga koden hade botnätegenskaper (alltså någon form av fjärrstyrning).

Men Androidhoten utgör inte den enda trend vi kan se gällande säkerhet för operativsystem. Gartner har förutspått att Windows 7 kommer att vara det mest använda operativsystemet under slutet av året, vilket innebär att hot som rootkits för 64 bit-Windows sannolikt kommer att öka under 2012. I takt med att skydds- och antivirusmöjligheterna blir mer avancerade kan vi även räkna med att cyber­skurkarna tar till allt mer komplexa metoder för att kunna fortsätta göra skada.

Under 2012 kan vi också räkna med att se fler specifika fall av skadlig kod utvecklad för att attackera särskilda mål, som Stuxnet gjorde under förra året. Just nu kan vi se Duqu (som vi tidigare pratat om i Säkerhetsradion) och sannolikheten är stor att fler hot av samma typ dyker upp nästa år.

En annan stor trend som vi troligtvis kommer att se under 2012 är en förändring i spridnings­metoder för cyberskurkar. De traditionella kanalerna, så som e-post, IM eller USB-enheter kommer förmodligen att se en minskning i attacker medan sociala ingenjörstekniker för sociala nätverk och blackhatsmittade SEO-resultat borde se en ökning. Även drive-by-nedladdningar, alltså skadlig kod installerad på känsliga, men legitima webbsidor, borde utgöra en attraktiv kanal för den som vill orsaka skada.

En sammanfattande video över vad ESET estimerar kommer bli några av 2012 års största hot finns här.

Var säkra i cyberrymden och ha ett gott nytt år!

Forskare: ”Botnätet TDL-4 är omöjligt att förstöra”

Forskare inom IT-säkerhet har upptäckt ett nytt och förbättrat botnät som de efter ingående undersökning bedömer är näst intill omöjligt att bryta ner. Uppskattningsvis har 4,5 miljoner datorer smittats och botnätet fortsätter sakta men säkert att växa.

Nätverket kallas TDL-4, TDSS eller Olmarik, vilket även är namnet på den skadliga kod som infekterar datorerna. Trojanen installerar sig i datorns MBR (master boot record) där den startas innan Windows, bakar in sig i systemet, och skyddas av ett rootkit. Detta gör att den är svår att upptäcka för både användare och antivirusprogram samt svår att ta bort eller oskadliggöra.

Det finns en rad olika faktorer som gör det här botnätet så svårt att ta ner: det får  kommandon på ett effektivt sätt via peer-to-peer-nätverk och de smittade datorerna använder två olika kommunikationskanaler. Sist men inte minst, så tar TDL-4 bort andra virus från datorer den infekterar för att användarna inte ska ana oråd och göra en grundlig virussökning eller installera antivirusprogram. Det gör TDL-4 till ett av de mest sofistikerade botnäten idag. Den senaste versionen har bland annat även stöd för 64-bitars system.

Botnätet används sedan av upphovsmakarna för att sprida andra virus eller hyrs ut till cyberkriminella för virus- och DDoS-attacker, spamutskick och phishingkampanjer.

Det här låter skrämmande men det är möjligt att skydda sig även mot avancerade virusattacker som TDL-4. Förhoppningsvis ökar medvetenheten om vikten av att ha bra säkerhet på både hem- och jobbdatorn och att alla vi datoranvändare blir mer försiktiga med vad vi gör på Internet.


Bild: Wikipedia

Angående Mastercard: DDOS-attacker växer som problem

Nyheterna om nya hackerangrepp och olika stora hackergruppers förehavanden har rasat in på sistone. Igår kom nyheten om att Mastercards webbsida utsattes för en DDOS-attack för att man bidrog till de ekonomiska blockaden av Wikileaks. Attackerna är en upprepning av de som hackergruppen Anonymous utförde tidigare i år med samma motiv (en podcast om Anonymous finns här).

Att utföra attacker som den här är ganska okomplicerat idag, de botnät som används kan hyras eller köpas för ganska lite pengar med rätt kontakter och marknadspriset stiger än så länge inte. Det är alltså möjligt att utföra sådana här ganska storskaliga påtryckningar (jag kan tänka mig att vissa skulle kalla det terror) för helt vanliga personer som läser på lite och skaffar sig rätt kontakter.

Ett litet men viktigt steg i kampen mot DDOS-attacker är att skydda datorer mot skadlig kod för att hindra botnäten från att sprida sig. Det handlar självklart om att använda antivirusprogram, men även om ett säkrare beteende. Det är dessutom viktigt att mjukvaruföretag lagar brister och säkerhetshål i program och operativsystem, det betyder mycket. Titta bara på hur mängden infektioner som utnyttjar Autorun sjönk när Microsoft skickade ut en push-uppdatering som låste funktionen.

Coreflood – amerikanskt tillslag tar ned tioårigt botnät

Igår genomförde amerikanska Department of Justice och FBI ett koordinerat tillslag mot botnätet Coreflood som sagts kontrollera över 2,3 miljoner datorer. Man beslagtog fem servrar och blockerade 29 domännamn som använts för att styra och kommunicera med det infekterade datorerna, läs mer på IT World.

Coreflood (Win32/Afcore i ESET NOD32) är ett av de mindre kända botnäten här i Sverige, men det har varit aktivt länge – helt säkert sedan 2001. Aktiviteten var hög mellan 2007 och 2009 med en toppnotering mot slutet av 2009. Sedan dess har det inte gjort så stort väsen av sig, men de senaste månaderna har det börjat mullra lite – kanske ingrep de amerikanska myndigheterna i rättan tid.

Det som utmärkte Coreflood var inte storleken eller spridningen, utan det var specialiserat på ekonomiska bedrägerier och lösenordsstölder för angrepp mot och via banker, e-post och sociala medier.

Vanligt folk lär inte märka så mycket av att Coreflood är borta. Det blir inga dramatiskt minskade spamvolymer, eftersom det inte var ett sådant botnät.

Däremot kommer många företag att slippa bli avlurade hundratusentals dollar – tills det dyker upp ett nytt botnät.

Botnätet Rustock går och tar med sig spam

The Register skriver att botnätet Rustock – av okänd anledning – inte lägre fungerar som man får anta att operatörerna önskar. Det här har lett till kraftigt minskade spamnivåer på samma sätt som vi såg en spampaus under jul och nyår 2010, det rörde sig om samma botnät.

Jag tror att The Registers analys är korrekt, detta är troligen också bara en paus. Det finns för mycket pengar i marknadsföringsspam för att vi ska få se ett slut på det i första taget.

Ny podcast: Oheliga allianser – Zeus och Spyeye

Kampen mot botnäten är mer eller mindre konstant, de är hydror med många huvuden. Några tas då och då ned, men nya dyker upp precis lika fort. För ett tag sedan dök det upp en hybrid mellan två av de större – Zeus och Spyeye – och rubriksättarna skrev ”supertrojan” med sin tjockaste font. Om det behöver vi inte säga mer än att supertrojan är ett mycket, mycket starkt uttryck.

I veckans podcast pratar vi lite om bland annat den rapporterade sammansmältningen av Zeus och SpyEye och varför säkerhetsbranschen följer hackerscenen så intensivt.

IBM:s infekterade USB-minnen – ja, det kanske är lite roligt

IBM:s infekterade USB-minnen – ja, det är kanske lite roligt I mars skrev både vi och andra om produkter, som mobiltelefoner och elektroniska fotoramar, som levererats med skadlig kod på från butik. Vi diskuterade även problemet och några olika liknande händelser i en podcast. I några fall har det rört sig om botnätsklienter och det är ju allvarliga saker.

Denna gång är det IBM som har trampat lite i klaveret, skriver The Register: under AusCERT-konferensen den här veckan delades ett okänt antal infekterade USB-minnen ut. Vad de innehöll är okänt utanför företaget, men det rör sig om kod som utnyttjar autostart-funktionen och alltså körs automatiskt så fort någon försöker använda minnet.

IBM har bett om att få tillbaka samtliga USB-minnen – och de står själva för portot.

Spammar din dator? Tio tecken att hålla koll på

I måndags skrev jag att jag skulle göra en lista över tecken på att en dator är infekterad med en botklient. Varför? För att de stora botnäten är en av de större säkerhetsfrågorna just nu och Koobface, Mariposa, Waledac och Storm är kända namn – Storm har för övrigt återuppstått, enligt en inte helt färsk artikel i The Register.

Så, hur vet man om datorn är infekterad av en botklient? Det är inte helt lätt. Själva idén med en zombiedator är att infektionen inte ska märkas. Något kan dock märkas utåt, till exempel mjukvarukonflikter eller korrupta filer, men det är svårt att se om man har en zombiedator eller om det bara är någon annan typ av skadlig kod.

Det finns dock några tecken som kan vara värda att hålla ett öga på – om inte annat är det bra att ha kunskapen i bakhuvudet. Om följande händer, är det något lurt på gång.

  1. Du kan inte ladda ner antivirusuppdateringar eller besöka återförsäljares webbsidor Skadlig kod försöker ofta hindra antivirusprogram från att köras eller installeras. Om du plötsligt inte kan uppdatera antivirusprogrammet eller inte kommer åt återförsäljarens hemsida kan du vara ganska säker på att det beror på skadlig kod.
  2. Du ser en lista över utgående Wall-inlägg som du inte har skickat på din Facebook-sida

    Postade länkar på Facebook

    Om du stöter på det här så bör du definitivt ändra ditt lösenord och se till att du inte har några infektioner, även om det kan finnas andra orsaker än skadlig kod – till exempel ett hackat konto. Tänk på att inte använda ditt Facebook-lösenord på flera sajter.

  3. Datorn tar lång tid på sig att stänga ner, eller stänger inte ner allsIbland innehåller skadlig kod buggar som kan orsaka problem, inklusive långa stängnings­tider och problem att stänga applikationer över huvud taget. Tyvärr kan buggar i operativsystemet och konflikter med legitima program göra detsamma.
  4. Programmen går mycket långsamtDet här kan betyda att ett dolt program använder en stor del av datorns resurser. I Aktivitetshanteraren eller motsvarande program kan man oftast se vilka program som tar upp mycket datorkraft eller minne.
  5. Du kan inte uppdatera operativsystemetDet här får man aldrig ignorera, även om det inte behöver betyda infektion – om du inte patchar systemet blir datorn med största sannolikhet infekterad förr eller senare.
  6. Internetåtkomsten blir allt trögareOm någon använder din dator för att skicka stora mängder spam, delta i en attack mot andra datorer eller ladda upp stora datamängder, kan det göra din uppkoppling riktigt långsam.
  7. Datorfläkten drar igång överväxeln i tomgångslägeDet här kan tyda på att program körs utan din vetskap och använder rejält med resurser. Det kan dock också vara ett gäng Microsoft-uppdateringar som installeras, smuts i datorn, eller så håller fläkten helt enkelt på att gå sönder.
  8. Familj och vänner har fått e-post som du inte har skickatDet här kan vara ett tecken på en bot eller något annat skadligt program, eller att ditt e-postkonto har blivit hackat. Det kan även vara någon av dina kompisar som haft din e-postadress i adressboken som blivit drabbad.
  9. Du stöter på pop-up-fönster och annonser i datorn trots att du inte använder någon webbläsare

    Även om det här är ett klassiskt tecken på olika typer adware, dvs. annonsprogram, så kan det vara en botklient som ligger bakom. Du bör definitivt ta itu med detta.
  10. Windows Aktivitetshanterare visar program med kryptiska namn eller beskrivningar

    Konstigt program i Aktivitetshanteraren

    Ibland använder även legitima program kryptiska namn. En titt i aktivitetshanteraren är oftast inte tillräckligt för att identifiera ett program som skadligt. Det kan hjälpa dig att hitta skadliga program, men du måste verkligen se till att validera resultatet. Att avsluta processer och ta bort filer för att du ”tror” att det är en botklient eller annan skadlig kod kan slå ut datorn så att du inte kan starta om den. Var väldigt försiktig med att lita på intuitionen.

Det var det. Som du ser finns egentligen det inget tydligt symptom på att du är en av stackarna i botnät. Däremot finns det många symptom att hålla koll på.

Lyssna även på vår podcast om slaget mot bonäten.

Botnät i Afrika – digitala massförstörelsevapen?

Bineros blogg hittade jag ett inlägg som diskuterar en tes från en artikel i Foreign Policy. Artikeln ser botnät som digitala massförstörelsevapen.

Det finns ingen tvekan om att ett botnät av hundratusentals infekterade datorer är ett kraftfullt verktyg i en brottslings händer, oavsett om det används för spam eller överbelastningsattacker. Journalisten menar att de kan användas av terrorister för att attackera alla Fortune 500-företagens IT-infrastruktur, eller till och med sabotera IT-infrastrukturen för ett helt land. Vi har sett överbelastningsattacker mot företag eller organisationer tidigare och det har diskuterats mycket om att liknande attacker kan användas i framtiden som en form av cyberkrigföring. Vanligtvis sker attacker som denna mot ett enskilt företag eller organisation, vilket begränsar effekterna. Vad som skulle hända om till exempel USA:s 100 största företag angreps och fick sina IT-system utslagna, det vet vi inte än.

Konceptet i artikeln är inte nytt, men väl vinkeln. I artikeln pekar journalisten ut Afrika som framtidens bas för cyberattackerna. Hans argument är att datorerna i Afrika inte är säkra. Folk har enligt honom inte råd med antivirusprogram och de saknar nödvändiga kunskaper för att säkra sina datorer mot skadlig kod. Han påstår även att 80 procent av alla datorer i Afrika redan är infekterade – det kan jag varken bekräfta eller förneka.

Erik Arnberg på Binero tar den här diskussionen ett steg längre och förankrar den i Sverige. Han kontaktar ett antal svenska Internetleverantörer och ställer de rätta frågorna och kommer fram till att åtminstone vi i Sverige är säkra – det finns för många flaskhalsar på vägen in i landet. Kapaciteten inom landet är större än den hit. Det är intressant och för all del skönt att veta.

Tyvärr är det ju så att ett problem som det här inte kan begränsas till länder och artikeln i Foreign Policy målar inte ut Sverige som något mål för internationell terrorism. Globaliseringen knyter världens nationer och ekonomier allt närmare varandra, till stor del med hjälp av Internet. Det innebär att en attack mot några hundra av USA:s största företag påverkar oss i lika hög grad som om attacken varit riktad mot oss – åtminstone indirekt.

Därför är det av yttersta vikt att vi tar hotet från botnäten på yttersta allvar, oavsett om datorerna befinner sig på den Afrikanska kontinenten eller i Åmål.

_______________

Botnät är förresten lurigt. När jag hinner tänkte jag publicera en lista här med tips på symptom som kan peka på att din datorn är med i ett botnät. Håll utkik!