Artikel top billede

Sådan sikrer hackerne botnets mod opdagelse

De store botnets bliver og mere avancerede. Se her, hvordan de anvender komplicerede metoder til at sikre sig mod at blive opdaget.

Computerworld News Service: Botnets er komplicerede netværk af hackede computere, der bruges af kriminelle til at sende spam, stjæle persondata eller udføre denial-of-service-angreb.

Læs også: DK-CERT: Sådan får vi bugt med botnet.

Deres underliggende kodestrukturer benytter almene metoder til at undgå at blive opdaget.

Mange af dem anvender endda kommerciel kode, som eksempelvis digital kopibeskyttelse og beskyttelse mod reverse engineering.

"Folk forstår ofte ikke, hvordan deres computere er blevet inficerede, da de har hele tiden har haft antivirusprogrammer. Det kommer fuldstændigt bag på dem," siger Gunter Ollmann, som er vice president for efterforskning ved sikkerhedsfirmaet Dambella, der specialiserer sig i opdagelse af botnet.

Avanceret undvigelse

Problemet er, at botnet-kode, der er designet til at inficere computere, typisk gør brug af undvigelsesteknikker såsom "noise insertion" og "chaffing," der begge genererer enorme mængder overskydende strenge af kode, som ikke gør andet end at gøre det sværere for antivirus eller andre opdagelsesmetoder at finde malwaren.

Det "afholder et strenge-inspektions-system fra at opdage dem," forklarer Ollmann, som har 20 års erfaring med analyse af malware blandt andet fra en stilling som ledende sikkerhedsanalytiker hos IBM.

Botnet-kode gemmer sig ofte ved hjælp af "crypters," som er specialiserede værktøjer med navne som "God of War Crypter."

De gemmer malwaren med kryptering.

Dette er alt sammen blot komponenter, der kan bruges i botnet.

Og i løbet af det sidste års tid er der i produktionen af botnets blevet brugt såkaldte "protectors," som forhindrer andre i at bruge fejlfindings- og analyseteknikker til at reverse engineer botnet-koden, siger Gunter Ollmann.

Her er de populære 'protectorer'

Themida er en sådan protector, der er populær blandt de cyberkriminelle.

Den er et kommercielt værktøj fra Oreans Technologies, som hovedsagligt bruges i spilbranchen til at forhindre reverse engineering.

"De fleste hackersites indeholder pdf-vejledninger i, hvordan kan bruger sådan et værktøj. Bagmændene bag botnettene har opbygget nærmest et professionelt samlebånd af systemer," siger Gunter Ollmann.

Tilbydes som samlesæt

Nogle gange tilbydes gør-det-selv-malware-samlesæt gratis som kildekode, selvom der skal betales for samlesæt med komplette sæt af funktioner.

"Ved at tilbyde den gratis version af kildekoden fremviser de deres nyeste tilgange og får etableret sig et navn. Disse fora er meget interessante at følge med i. Det er ligesom at se børne-tv, hvor konkurrenter piratkopierer hinandens værktøjer, det er meget rodet," siger Gunter Ollmann.

Det er et kodeudviklings-miljø, der går meget hurtigt, og hvis en botnet-kode har været tilgængelig i mere end omkring tre måneder, "så kan man sandsynligvis finde den gratis, da den vil være blevet piratkopieret," fortæller han.

De landespecifikke sites har international spændvidde, de fleste bruger engelsk som fællessprog, men der er også nogle på russisk.

Et af de mere bekymrende aspekter ved alt dette handler ifølge Ollmann om websites i Holland og Belgien, der handler med malware-kode.

Her er det tydeligt, at et antal af de deltagende ikke er professionelle cyberkriminelle, men tilsyneladende blot er unge mennesker på afveje, der "synes, at hacking er sejt," og som prøver at få anseelse ved at vise, at de kan udvikle malware og angrebs-værktøjer.

I de fleste lande er det ikke ulovligt at udvikle og udbrede malware-værktøjer på nær måske i Frankrig, som er kendt for at have nogle af de strengeste love på området, påpeger Gunter Ollmann.

Men når det handler om at udnytte disse værktøjer til at skabe botnets, så ser det ud til, at de professionelle kriminelle, der angriber virksomheder med botnets, "ikke nødvendigvis er mere avancerede" end alle mulige andre, og "det er tydeligt, at de ikke har udviklet værktøjerne selv," hævder Ollmann.

Deres særlige talent består i, at "de er meget velorganiserede i forhold til at gemme sig og til at komme omkring."

Oversat af Thomas Bøndergaard

Læs også:

DK-CERT: Sådan får vi bugt med botnet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere