Forskere tok over botnett

Forskere tok over botnett

Sikkerhetsforskere kontrollerte et gigantisk botnett i ti dager. Slik gjorde de det.

Forskere fra University of California hadde i hele ti dager kontroll over 180.000 maskiner infisert av Torpig, en trojaner som kommuniserer med sine kontrollermaskiner via http.

I perioden klarte de via sine Apache-servere å samle inn 8,7 gb med Apache-logg og 68 gb generelle datapakker.

Etter å ha dekryptert det base64 / XOR-krypterte materialet, satt de blant annet igjen med 8310 påloggings-id til 410 forskjellige finansielle institusjoner som for eksempel Paypal, hvorav 38 prosent ble stjålet fra nettleserens passordhuskefunksjoner og ikke fra selve innloggingsprosessen.

Videre ble det funnet 1660 unike kredittkortnummer, nesten halvparten fra USA, flesteparten av typen Visa.

I tillegg samler Torpig inn all data som fylles inn på ulike skjemaer på nettet, inkludert hvor de blir fylt inn.

Alt i alt fikk forskernes falske Torpig-server inn 298.000 brukernavn/passord fra 52.500 infiserte maskiner.

Om maskinene skulle blitt del av et DDOS-angrep ville et forsiktig estimat tilsi tilgjengelig felles båndbredde på 17 gbps.

Lurer seg inn

Torpig i seg selv er en seig luring som legger seg inn i oppstartssystemet MBR via rootkitet Mebroot og sniker seg dermed inn før operativsystemet startes. På denne måten lurer Membroot seg unna antivirusprogrammer.

Ofre infiseres av såkalte drive-by-download-angrep, hvor legitime, men sårbare nettsider kjører en rekke angrep mot kjente, sårbare elementer, for eksempel via ActiveX, uten brukerens viten.

Om angrepet går i orden, lastes trojaneren Torpig ned til maskinen og pakker seg diskret inn rundt diskdriveren disk.sys.

Dermed har den full tilgang til harddisken, og kan skrive over MBR. Etter kort tid starter maskinen på nytt, og dermed er maskinen en slave for Torpig-serverne.

Tidvis, ifølge forskerne hvert 20. minutt, vil slavemaskinen ta kontakt med Torpig-serverne for å avlevere data den har funnet til kommandomaskinen. På samme måte kontakter den Mebroot-serveren annenhver time.

Mens kommunikasjonen med Mebroot er veldig kløktig kryptert, ble Torpig-kommunikasjonen, basert på XORing av teksten med 8 byte nøkkel og kode i base64, knekt allerede mot slutten av 2008. Dermed vet man hvordan kommando-serveren snakker.

Dette skulle vise seg å være en svært viktig del av forskernes ambisjon om å ta over bottnettet. Les videre på neste side!