Så nemt laver man et bot-netværk

ComON var sidste uge til malware-seminar hos McAfee i London, og perspektiverne for edb-brugerne er skræmmende:

Mængden af rapporteret malware er steget med 246 procent blot på ét år (2006-2007). Af alle nye beskrivelser af ondsindet programkode i antivirus-selskabernes definitions-databaser, er de 67 procent så nye, at de først kom til sidste år.

Så sent som Grundlovsdag i år var det ellers velbeskyttede site ComON - og alle vore danske søstersites - nede at vende i en virtuel benlås, på grund af et tilsyneladende umotiveret Denial of Service (DOS) angreb fra ukendte cyber-banditter.

Bagmændene bag sidste uges ondsindede angreb behøver nu ikke være professionelle, russiske it-kriminelle eller supernørdede hackere uden ikke-virtuelle liv. Angrebet kunne i princippet have været udført af en par skolepiger fra et teenage-værelse i Viborg.

Det er nemlig i dag så let at være hacker, at det lykkedes ComON's udsendte medarbejder - der aldrig har hacket andet end mandler til ris á la manden - at oprette og kontrollere et botnetværk på under en time.

Med et ualmindeligt veldesignet og pædagogisk tilrettelagte stykke hacker-software ved navn Shark 2.4.0 fwp+ , guidede den nydelige brugerflade med udførlige instruktioner den udsendte reporter gennem opsætningen af en trojaner, der få minutter efter var installeret på en nabomaskine. Fra serveren var der nu fuld og uhindret adgang til klienten, fuldstændigt usynligt for brugeren.

Herfra er det den nemmeste ting i verden, at bede den nu viljeløse klientcomputer downloade ondskabsfuld kode eller browse specifikke net-adresser i et DOS-angreb. Trojaner-kreator og Command and Control-server iét og samme stykke software.

"Joh, men man skal jo stadig have eksekveret trojaneren med bot-koden på klienten".. Det er sådan set rigtigt nok, men takket være FaceBook, MySpace og alle de andre sociale netværk-sites, er det blevet nemmere end nogen sinde, at lave en tilforladeligt udseende mail med en tilsyneladende uskyldig og relevant vedhæftning. Selvfølgelig kan man skyde med spredhagl og gå efter de få og mest naive brugere, men der skal ikke meget research til, at finde ejeren af en bestemt email-adresse. Eksempelvis en ledende medarbejder i en it-relevant virksomhed. Så Googler man vedkommende og finder snart ud af, at han spiller badminton i Valsølille Badminton Klub, laver en trojaner med titlen 'turneringsbilleder_2008' og sender den i formandens navn. En lignende mail ville mange åbne, uden at tænke nærmere over det. Således skabtes begrebet 'whaling'.

Shark 2.4.0 kan deformere og forklæde din trojaner efter forgodtbefindende, så det i princippet er en ny variant af en gammelkendt trojaner hver gang. Selvfølgelig kan McAfee-drengene og deres kolleger i de andre sikkerhedsfirmaer skrive en kode, der genkender alle (næsten) varianterne, så giver det en meget godt billede af, hvor hård kampen er, for at være på forkant med udviklingen.

For de professionelle hackere bruger ikke Shark 2.4.0, men endnu bedre udviklede programmer, der skaber deciderere unikke trojanere, der nemt slipper igennem de fine masker i brugerens antivirusprogram, hvis ikke det er 100 procent opdateret - og det er lige nøjagtigt hér, historien udvikler sig til en gyser.

Der er nemlig en ikke uovervejende del af internet-brugerne, der benytter sig af gratis antivirus-software, og det betyder ikke nødvendigvis, at den er dårlig. Men hvis ikke er kritisk, når man man vælger sin AV software, risikerer man at installere et produkt, der ikke opdateres jævnligt nok.

Der er ligeledes mange, der køber deres computer som en færdigløsning, og med i pakken får et introduktionstilbud på 'gratis' software. "Prøv XXX Antivirus gratis i 30 dage". Når prøvetiden så er udløbet, får man måske ikke lige taget sig sammen til at bestille et abonnement, og da blandt andre ét bestemt firmas produkt er herostratisk berømt for at være et mas at afinstallere, vælger man måske, at fortsætte med den allerede installerede software - dog uden mulighed for at opdatere de vitale virus-definitioner.

Hvis vi holder fast i vigtigheden af hyppige opdatinger, så spiller styresystemet også en vis rolle - og da rundt regnet 95 procent af alle hjemmecomputere benytter Windows, er Windows Update således en vigtig faktor i beskyttelsen af brugerens computer.

MEN... Uden at kunne sætte præcise tal på, så er der formodentlig en væsentlig del af de installerede styresystemer, der ikke er købt og betalt på traditionel vis. I hvert fald vidner diverse pirat-, warez- og torrentsites om, at disse 'gratis' Windows-versioner er mere end almindeligt populære. Desværre altså med den ulempe, at de i mange tilfælde ikke løbende kan opdateres.

'Almindelige' brugere kan måske undre sig over, hvad en hacker har at komme på deres stue-pc efter. Svaret er: Ingenting! Måske lige udover nøglen og adgangskoden til internetbanken. De fleste hackere tiltvinger sig nemlig ikke adgang til private computere for at stjæle noget, men derimod for at efterlade noget.

De fleste større og veletablerede firmaer er nemlig ikke lige sådan at hacke sig ind i, men de er til gengæld dybt afhængige af en stabil internetforbindelse, og hvis flere tusinde computere samtidig forsøger at kontakte firmaets servere, så går disse servere ned med et brag. Et klassisk DoS (Denial of Service) angreb. Et sådant DoS-attack kan koste en virksomhed formuer, og det er ikke ualmindeligt, at cyberbanditterne forlanger 'løsepenge' for at slippe grebet om firmaets trængte server.

"Lige så længe der findes computere, der ikke er opdateret mod de seneste trojaner-varianter, lige så længe vil ondsindede computerslyngler downloade fjernstyringsprogrammer til vores computere og indlemme dem i deres viljeløse zombie-hær".

Det lyder alt sammen som pædagogiske belæringer, vi har hørt til bevidstløshed, men den løftede pegefinger har en pointe: Selv med et vel opdateret PC-system, kan man være uheldig. McAfees midlertidige opdateringer, de såkaldte betaDAT-filer udsendes nemlig kun hvert 20-25 minut. Og på den tid kan man altså nå at blive ramt af en af de 20-25.000 potentielle'ægte' malwares, som McAfee modtager samples på dagligt.

»Det er i høj grad en balancegang, at sortere i disse samples, i dag hvor alle kan lave en variant af et kendt og fungerende stykke malware.Faktisk er falske alarmer vores største problem (læs: tidsrøver. Red), men vi er nødt til at behandle dem alle. Det er faktisk lidt som at forsøge, at tælle sorte katte om natten - når man ikke ved hvordan en kat ser ud, eller hvilken farve 'sort' er«, forklarer teknisk arkitekt og en af McAfees førende analytikere, Greg Day.

Derfor arbejder McAfee i øjeblikket på en form for Real Time Protection, hvor malware-analytikerne lægger informationer ud til opdatering, i takt med de fremskaffer disse - uden at dette fører til en stigning i falske alarmer på baggrund af utilstrækkeligt analysegrundlag.

Hvor måned behandler analytikerne hos McAfee omkring 600.000 unikke koder, og mens de alvorligste trusler gennemgår nærmere undersøgelse, såsom 'reverse engineering', ville McAfee foretrække at have de foreløbige informationer liggende i deres beta DAT-filer. Dette er fremtiden!

Uden at afslutte med den løftede opdaterings-pegefinger, kan vi tilføje, at ComON efter hjemkomsten fra London kiggede lidt nærmere på mulighederne for at etablere sig som fritids-hacker. Det tog os under tyve sekunder at finde og udprinte en 24-siders manual i Alt om Bot-neværk og ikke meget længere at finde og downloade værktøjet Shark 2.4.0. Det skal dog tilføjes, at da vi forsøgte at installere det på vores test-pc, viste trojaner-programmet sig at indeholde... Rigtigt; en trojaner. Heldigvis fandt vores (altid opdaterede) anti-virus program det.

Læs meget, meget mere om anti-virus software og malware på www.av-test.org