Artikel top billede

Sådan sikrer hackerne botnets mod opdagelse

De store botnets bliver og mere avancerede. Se her, hvordan de anvender komplicerede metoder til at sikre sig mod at blive opdaget.

Computerworld News Service: Botnets er komplicerede netværk af hackede computere, der bruges af kriminelle til at sende spam, stjæle persondata eller udføre denial-of-service-angreb.

Læs også: DK-CERT: Sådan får vi bugt med botnet.

Deres underliggende kodestrukturer benytter almene metoder til at undgå at blive opdaget.

Mange af dem anvender endda kommerciel kode, som eksempelvis digital kopibeskyttelse og beskyttelse mod reverse engineering.

"Folk forstår ofte ikke, hvordan deres computere er blevet inficerede, da de har hele tiden har haft antivirusprogrammer. Det kommer fuldstændigt bag på dem," siger Gunter Ollmann, som er vice president for efterforskning ved sikkerhedsfirmaet Dambella, der specialiserer sig i opdagelse af botnet.

Avanceret undvigelse

Problemet er, at botnet-kode, der er designet til at inficere computere, typisk gør brug af undvigelsesteknikker såsom "noise insertion" og "chaffing," der begge genererer enorme mængder overskydende strenge af kode, som ikke gør andet end at gøre det sværere for antivirus eller andre opdagelsesmetoder at finde malwaren.

Det "afholder et strenge-inspektions-system fra at opdage dem," forklarer Ollmann, som har 20 års erfaring med analyse af malware blandt andet fra en stilling som ledende sikkerhedsanalytiker hos IBM.

Botnet-kode gemmer sig ofte ved hjælp af "crypters," som er specialiserede værktøjer med navne som "God of War Crypter."

De gemmer malwaren med kryptering.

Dette er alt sammen blot komponenter, der kan bruges i botnet.

Og i løbet af det sidste års tid er der i produktionen af botnets blevet brugt såkaldte "protectors," som forhindrer andre i at bruge fejlfindings- og analyseteknikker til at reverse engineer botnet-koden, siger Gunter Ollmann.

Her er de populære 'protectorer'

Themida er en sådan protector, der er populær blandt de cyberkriminelle.

Den er et kommercielt værktøj fra Oreans Technologies, som hovedsagligt bruges i spilbranchen til at forhindre reverse engineering.

"De fleste hackersites indeholder pdf-vejledninger i, hvordan kan bruger sådan et værktøj. Bagmændene bag botnettene har opbygget nærmest et professionelt samlebånd af systemer," siger Gunter Ollmann.

Tilbydes som samlesæt

Nogle gange tilbydes gør-det-selv-malware-samlesæt gratis som kildekode, selvom der skal betales for samlesæt med komplette sæt af funktioner.

"Ved at tilbyde den gratis version af kildekoden fremviser de deres nyeste tilgange og får etableret sig et navn. Disse fora er meget interessante at følge med i. Det er ligesom at se børne-tv, hvor konkurrenter piratkopierer hinandens værktøjer, det er meget rodet," siger Gunter Ollmann.

Det er et kodeudviklings-miljø, der går meget hurtigt, og hvis en botnet-kode har været tilgængelig i mere end omkring tre måneder, "så kan man sandsynligvis finde den gratis, da den vil være blevet piratkopieret," fortæller han.

De landespecifikke sites har international spændvidde, de fleste bruger engelsk som fællessprog, men der er også nogle på russisk.

Et af de mere bekymrende aspekter ved alt dette handler ifølge Ollmann om websites i Holland og Belgien, der handler med malware-kode.

Her er det tydeligt, at et antal af de deltagende ikke er professionelle cyberkriminelle, men tilsyneladende blot er unge mennesker på afveje, der "synes, at hacking er sejt," og som prøver at få anseelse ved at vise, at de kan udvikle malware og angrebs-værktøjer.

I de fleste lande er det ikke ulovligt at udvikle og udbrede malware-værktøjer på nær måske i Frankrig, som er kendt for at have nogle af de strengeste love på området, påpeger Gunter Ollmann.

Men når det handler om at udnytte disse værktøjer til at skabe botnets, så ser det ud til, at de professionelle kriminelle, der angriber virksomheder med botnets, "ikke nødvendigvis er mere avancerede" end alle mulige andre, og "det er tydeligt, at de ikke har udviklet værktøjerne selv," hævder Ollmann.

Deres særlige talent består i, at "de er meget velorganiserede i forhold til at gemme sig og til at komme omkring."

Oversat af Thomas Bøndergaard

Læs også:

DK-CERT: Sådan får vi bugt med botnet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere


Det Digitale Produktpas

Kom med og hør om, hvordan du kommer i gang med at sikre din virksomhed er klar til Det Digitale Produktpas. Vi sætter fokus på, hvordan du bliver klædt på til at få styr og struktur på dine data, samt hvilke krav du skal sætte til dine leverandører og andre i din værdikæde, for at sikre den nødvendige information er tilgængelig.

21. august 2024 | Læs mere


Cyber Security Summit 2024

På Cyber Security Summit får du indsigt i det aktuelle trusselslandskab, overblikket over de nyeste værktøjer og trends indenfor sikkerhedsløsninger, indsigt i de relevante rammeværktøjer og krav samt de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

27. august 2024 | Læs mere