Posts Tagged ‘Bot’

Botnets, ISPs, and The Role of The Cloud

Data CenterOne interesting comment on my previous post on Botnets, gave me a cue for another consideration concerning the role of the cloud inside the fight against botnets.

The fact that ISPs are evaluating an Anti Botnet Conduct Code means  their are feeling responsible for what resides inside (and leaves) their networks, and hence are supposed to take technical, organizational and educational countermeasures.

Anyway, in order to be effective, anti-bot controls should be enforced inside the customers’ networks, or at least before any source NAT is performed, otherwise IP addresses of the infected machines would be hidden, making impossible to detect and block them directly. A huge task for an ISP unless one were able to centralize the security enforcement point where the traffic is monitored and compromised endpoints members of a bot detected.

Said in few words I believe that ISPs will soon offer advanced anti-malware (read anti-bot) services in the cloud by routing (or better switching) the customer’s traffic on their data centers where it is checked and the customers notifyed in real time about the presence of bots inside their networks. You may think to the same approach used for URL filtering services on the cloud with the difference that in this scenario the clients should arrive to the ISP’s Data Center with their original IP Address or a statically NATed address so that it could always be possible to recognize the original source. Another difference is also that in this scenario the purpose in not only to protect the customers’ networks from the external world but also (and maybe most of all) to protect the external world from the customers’ (dirty) networks.

Another contribution of the cloud against Botnets that I forgot to mention in the original post.

I, BOT (Coming To A C&C Server Near You)

May 22, 2012 3 comments

Few days ago I have discovered that the City I live in (Rome), ranks at number two in the World for the number of BOT infections, at least according to Symantec Internet Security Threat Report Edition XVII.

Of course reports must be taken with caution, but it is undoubted that Bot infections are becoming a huge problem for the Information Security Community (a modern Biblical Plague), so huge to deserve the attentions of The Federal Communication Commission. As a matter of fact, on March 2012, FCC, working with communications companies including Verizon, Cox, and Comcast, has passed a voluntary code that delineates the steps that ISPs must take to combat botnets. As you will probably know, botnets may be used by cybercrookers for making money with different criminal purposes ranging from information theft to the execution of DDoS Attacks: have a look to this interview to a botnet operator to have an idea (and to discover that botnets are used also to counterfeit virtual currency).

Such a similar plague is pushing a major change to the traditional security paradigm, a change that can be summarized in few words: if yesterday the refrain for system administrators was “Beware of what enters your network” (so all the security warfare was focused in checking the ingress traffic), today it is becoming: “Beware of what leaves your network“.

This is nothing else than a consequence of the fact that traditional endpoints technologies are proving not to be so effective against Bots, so a new approach, which aims to control the egress traffic generated by compromised endpoints and leaving the organization, is needed. The effectiveness of traditional endpoint technologies is not optimal since new variants (capable of evading antivirus controls) come out much faster than the related signatures developed by vendors: try to have a look at the average antivirus detection rate against Zeus (the god of bots), and you will probably be disappointed in noticing that it is stable at a poor 38%). On the other hand, recognizing the communication patterns at the perimeter is a more profitable strategy, since the different variants generally do not change deeply the communication protocols with the C&C Server (unless a P2P protocol is used, see below).

The strategy to mitigate botnets relies on the fact that each botnet has (in theory) a single point of failure: it is the C&C Server to which Cyber Hunters and Law Enforcement Agencies address their takeover attempts to take them down definitively or to turn them into sinkholes for studying the exact morphology and extension of the infection). Depending on the botnet configuration, each infected endpoint polls the C&C server for new instructions at a given time interval and that is the point of the process in which good guys may act: detecting (and blocking) that traffic allows to identify infected machines (and my experience indicate that too often those machines are equipped with an updated and blind antivirus).

For the chronicle the C&C Server is only a theoretical single point of failure since C&C Servers are generally highly volatile and dynamic so it is not so easy to intercept and block them (the only way to take down a botnet), hence in my opinion, it should be more correct to say that a botnet has has many single points of failure (an information security oxymoron!).

As if not enough, in order to make life harder for good guys, the next generation botnets are deploying P2P protocols for decentralizing the C&C function and make their takedown even tougher.

But good guys have a further weapon in this cat and mouse game: the cloud intelligence. Even if I am not a cloud enthusiast, I must confess that this technology is proving to be a crucial element to thwart botnets since it allows to collect real time information about new threats and to centralize the “intelligence” needed to dynamically (and quickly) classify them. Real time information is collected directly from the enforcement points placed at the perimeter, which analyze the egress traffic from an organization containing compromised machines. Of course after the successful analysis and classification, the new patterns may be shared among the enforcement points all over the five continents in order to provide real time detection (and hence protection) against new threats. This approach is clearly much more efficient than an endpoint based enforcement (which would need to share the information among a larger amount of devices), provided the enforcement point are positioned adequately, that is they are capable to monitor all the egress traffic.

The combination of the analysis of egress traffic and cloud intelligence is a good starting points for mitigating the botnet effects (for sure it is necessary to identify infected machines) but, as usual, do not forget that the user is the first barrier so a good level of education is a key factor together with consolidated processes and procedures to handle the infections.

March 2012 Cyber Attacks Timeline (Part II)

First Part: March 2012 Cyber Attacks Timeline (Part I)

It is time for the second part of the March 2012 Cyber Attacks Timeline, a month that will probably be remembered for the breach occurred to Global Payments, a credit card processor, whose aftermath may potentially affect up to 10 million credit card holders belonging, among the others, to Visa and MasterCard.

On the hacktivism front, not even three weeks after the arrest of several LulzSec members, a new hacking crew has appeared whose name, LulzSecReborn, clearly reminds the infamous collective and its Days of Lulz. They entered the scene with a noticeable, albeit discussed, leak: more than 170.000 records from a military dating site.

Other remarkable hacktivism-led cyber attacks include the so called #OpFariseo, a wave of Cyber Attacks targeting websites related to the visit of the Pope in Mexico, and a new cyber attack to PBS. It is also important to notice the debut of the Anonymous in China, a debut characterized by a massive wave of defacements.

Last but not least, among the events of this month there is one which in particular deserves a mention, and is the leak which targeted Vector Inc., a Japanese computer selling firm, potentially affecting more than 260,000 users.

As usual after the jump you will find all the references.

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 (regularly updated), and follow @pausparrows on Twitter for the latest updates.

Read more…

Lo Smartphone? Ha fatto il BOT!

February 23, 2011 2 comments

E’ stato appena pubblicato un interessante articolo di Georgia Weidman relativo al concept di una botnet di smartphone controllati tramite SMS. Il lavoro, annunciato alla fine del mese di gennaio 2011 e presentato alla Shmoocon di Washington, aveva da subito attirato la mia attenzione poiché, in tempi non sospetti, avevo ipotizzato che la concomitanza di fattori quali la crescente potenza di calcolo dei dispositivi mobili e la loro diffusione esponenziale, avrebbe presto portato alla nascita di possibili eserciti di Androidi (o Mele) controllate da remoto in grado di eseguire la volontà del proprio padrone.

Il modello di mobile bot ipotizzato (per cui è stato sviluppato un Proof-Of-Concept per diverse piattaforme) è molto raffinato e prevede il controllo dei terminali compromessi da parte di un server C&C di Comando e Controllo, mediante messaggi SMS (con una struttura di controllo gerarchica), che vengono intercettati da un livello applicativo malevolo posizionato tra il driver GSM ed il livello applicativo. La scelta degli SMS come mezzo di trasmissione (che in questo modello di controllo assurgono al ruolo di indirizzi IP) è dovuto all’esigenza di rendere quanto più possibile trasparente il meccanismo di controllo per utenti e operatori (l’alternativa sarebbe quella del controllo tramite una connessione  dati che tuttavia desterebbe presto l’attenzione dell’utente per l’aumento sospetto di consumo della batteria che non è mai troppo per gli Androidi e i Melafonini ubriaconi). Naturalmente il livello applicativo malevolo è completamente trasparente per l’utente e del tutto inerme nel processare i dati e gli SMS leciti e passarli correttamente al livello applicativo senza destare sospetti.

Georgia Weidman non ha trascurato proprio nulla e nel suo modello ipotizza una struttura gerarchica a tre livelli:

  • Il primo livello è composto dai Master Bot, controllati direttamente dagli “ammucchiatori”. I Master Bot non sono necessariamente terminali (nemmeno compromessi), ma dovendo impartire ordini via SMS possono essere dispositivi qualsiasi dotati di un Modem;
  • Il secondo livello è composto dai Sentinel Bot: questi agiscono come proxy tra i master e l’esercito di terminali compromessi. Le sentinelle devono essere dispositivi “di fiducia”, ovvero dispositivi sotto il diretto controllo degli “ammucchiatori” o membri della botnet da un periodo di tempo sufficientemente lungo da far ritenere che l’infezione sia ormai passata inosservata per il proprietario e degna pertanto di promuoverli al ruolo di sentinelle.
  • Il terzo livello è composto dagli slave bot. I veri e propri soldati dell’esercito di terminali compromessi che ricevono le istruzioni dalla sentinelle ed eseguono il volere del capo.

Da notare che questo modello gerarchico applica il paradigma del “divide et impera”. I terminali compromessi slave non comunicano mai direttamente con il master, e solo quest’ultimo, inoltre, conosce la struttura dell’intera botnet. L’utilizzo del SMS inoltre consente al master di poter cambiare numero di telefono all’occorrenza ed eludere così le forze del bene, ovvero gli eventuali cacciatori di bot.

Ovviamente tutte le comunicazioni avvengono tramite SMS cifrati (con un algoritmo di cifratura a chiave asimmetrica) e autenticati, inoltre la scoperta di un telefono infetto non pregiudica l’intera rete di terminali compromessi ma solo il segmento controllato dalla sentinella di riferimento (il master può sempre cambiare numero).

Quali possono essere gli utilizzi di una botnet così strutturata? Naturalmente rubare informazioni, per fini personali o di qualsiasi altro tipo (politici, economici, etc.). Purtroppo, per questa classe di dispositivi, che stanno trovando sempre di più applicazioni verso i livelli alti di una Organizzazione, gli exploit e i bachi sono all’ordine del giorno per cui teoricamente sarebbe possibile rubare il contenuto della memoria SD con un semplice SMS. Ma non finisce qui purtroppo: considerata la potenza di calcolo (abbiamo ormai un PC nel taschino) e la potenza di calcolo, questi dispositivi possono essere facilmente usati come seminatori di traffico, ovvero sorgenti di attacchi di tipo DDoS (Distributed Denial of Service), specialmente nel caso di connessioni Wi-Fi che si appoggiano su un operatore fisso  che offre possibilità  di banda maggiori e quindi più consone ad un attacco di tipo Distributed Denial Of Service. Questo si sposa perfettamente con la dinamicità di una botnet basata su SMS (in cui il master può cambiare numero per nascondersi) e con le infrastrutture degli operatori mobili (o fissi offerenti servizi Wi-Fi) che potrebbero non essere completamente pronte per affrontare simili tipologie di eventi informatici (come anche evidenziato dal recente report di Arbor Networks). Altra nefasta applicazione potrebbe essere lo spam, soprattutto se effettuato tramite SMS. Interessante inoltre la combinazione con il GPS che potrebbe portare al blocco totale delle comunicazioni GSM in determinate circostanze spazio-temporali (sembra fantapolitica ma è comunque teoricamente possibile).

Rimane ora l’ultimo punto che era rimasto in sospeso quando avevo trattato di questo argomento per la prima volta:  mi ero difatti chiesto la questione fondamentale, ovvero se il software malevolo di bot avesse necessità o meno di permessi di root. La risposta è affermativa, ma questo non mitiga la gravità del Proof-Of-Concept, ribadisce anzi l’importanza di un concetto fondamentale: alla base della sicurezza c’è sempre l’utente, il cui controllo sovrasta anche i meccanismi di sicurezza del sistema operativo, e questo non solo perché ancora una volta viene evidenziata drammaticamente la pericolosità di pratiche “smanettone” sui propri dispositivi (che possono avere conseguenze ancora più gravi se il terminale è usato per scopi professionali), ma anche perché gli utenti devono prendere consapevolezza del modello di sicurezza necessario, facendo attenzione alle applicazioni installate.

Lato operatori, urge l’assicurazione che gli aggiornamenti di sicurezza raggiungano sempre i dispositivi non appena rilasciati. Aggiungerei inoltre, sulla scia di quanto dichiarato da Arbor Networks, possibili investimenti infrastrutturali per l’eventuale rilevazione di eventi anomali dentro i propri confini.

A questo punto, il fatto che i produttori di sicurezza abbiano, quasi all’unanimità, inserito il mondo mobile al centro delle preoccupazioni di sicurezza per il 2011 perde qualsiasi dubbio sul fatto che si tratti di una moda passeggera, ed è asupicabile che  gli stessi stiano già correndo ai ripari, aggiungendo livelli di sicurezza aggiuntivi ai meccanismi intrinseci del sistema operativo con l’ausilio di tecnologie di DLP (come indicato dal report Cisco per il 2011), virtualizzazione e integrando sempre di più tecnologie di sicurezza nei dispositivi: ultimo annuncio in ordine di tempo? Quello di McAfee Intel che si dimostra, ancora una volta, molto attiva nel settore mobile.

Quando Gli Androidi Diventano Zombie

January 29, 2011 4 comments

Chissà se George Romero possiede uno smartphone Android? Magari il padre dei film di serie B con protagonisti gli Zombie, rimarrebbe incuriosito (e forse un po’ deluso) nel constatare che gli eserciti di esseri affamati di carne umana protagonisti del grande schermo rischiano seriamente di essere sostituiti, nel mondo reale, da meno prosaici eserciti di dispositivi  mobili (Androidi Zombie) affamati di Indirizzi IP da attaccare o Indirizzi di posta elettronica da saturare con messaggi di Spam.

Facciamo un breve salto indietro. Nel commentare le previsioni di sicurezza Symantec per il 2011, mi ero sbilanciato asserendo che nel corso del 2011 avremmo probabilmente assistito alla nascita di botnet di terminali compromessi.

Un segnale in questa direzione era arrivato alla fine del 2011, dalla terra dei Mandarini, dove aveva fatto la sua comparsa il primo malware mobile con gli occhi a mandorla, Geinimi, avente tutte le potenzial caratteristiche di un trojan bot-like.

Non è passato nemmeno un mese e Georgia Weidman, ricercatrice di sicurezza, ha creato in laboratorio un malware in grado di prendere il controllo remoto di un Androide e comandarlo tramite SMS (rigorosamente autocancellanti). Le istruzioni che è possibile impartire remotamente includono (ma non si limitano a) l’invio di messaggi (di posta elettronica e SMS) di Spam, la partecipazione in attacchi di tipo DDoS o anche il semplice degrado delle comunicazioni. Il tutto finalizzato alla creazione di un esercito agguerrito di Androidi al soldo del Cybercriminale di turno.

I risultati dello studio stann0 per essere presentati alla Shmoocon in corso a Washington (per la precisione domenica 30 gennaio alle ore 12:00 locali). Per ora non sono noti molti particolari se non che l’azione nefanda del malware si manifesta mediante un rootkit da installare sul terminale mobile che agisce come proxy tra il modem GSM e il livello applicativo, rendendo i messaggi di comando  e le azioni eseguite trasparenti all’utente (presumibilmente fino alla prossima bolletta). In laboratorio è stata creata una mini botnet con tre differenti modelli di Androidi, ma l’autrice promette di rilasciare, durante il suo speech, codice di esempio per altre piattaforme.

Ovviamente il potere processivo di un terminale mobile, per quanto notevole, non è confrontabile con quello di una postazione fissa tradizionale; tuttavia due fattori giocano a favore delle botnet mobili: la rapida diffusione dei terminali (Gartner prevedeva, entro la fine del 2010, 1.2 miliardi di terminali in grado di offire una elevata esperienza di accesso ad Internet) e soprattutto il fatto che i modelli di comportamento di una botnet all’interno della rete di un operatore (diversamente dalle botnet tradizionali che proliferano su Internet) non sono prevedibili e soprattutto consentono un migliore mascheramento dei terminali compromessi (gli zombie virtuali) origini degli attacchi.

Allo stato attuale non è noto l’aspetto a mio avviso più importante di tutta la questione, ovvero se il malware necessiti o  meno dei permessi di root per agire (ma presumibilmente si tratta di attendere solo qualche ora per avere la risposta). Anche se, come più volte ribadito, la prima barriera di sicurezza è rappresentata dall’utente a cui si demanda la responsabilità e la verifica delle applicazioni che si installano; certo è che nel caso in cui il malware non abbia necessità dei permessi di root (operazione a quasi esclusivo appannaggio degli “smanettoni” e quindi meno probabile per una utenza responsabile), la probabilità di diffusione, e di conseguenza l’impatto della minaccia, sarebbe notevolmente superiore.

In ogni caso, se le botnet mobili fossero realmente in grado di diffondersi, sarebbe drammaticamente evidenziata la necessità di un nuovo modello di sicurezza per gli operatori mobili: come noto all’interno della big Internet i grandi carrier collaborano per il controllo su scala globale degli attacchi di tipo DDoS, tuttavia sino ad oggi una tale esigenza non è mai stata sentita per le reti mobili dove probabilmente sarebbe più complesso adottare un modello di controllo globale considerata la frammentazione delle reti e le diverse modalità di accesso delle singole reti mobili nella Big Internet.

Nei famigerati anni 80 qualcuno sosteneva che un miliardo di cinesi che saltassero contemporaneamente sarebbero stati in grado di perturbare la rotazione dell’asse terrestre. Cosa succederebbe oggi se milioni di dispositivi facessero squillassero contemporaneamente?

Zeus E SpyEye: L’Unione Fa La Forza

January 16, 2011 Leave a comment

Una delle previsioni di sicurezza per il 2011 vedeva come protagonista l’aggressiva sopravvivenza delle Botnet (previsione esplicitata da McAfee e Trend Micro). In particolare McAfee si era particolarmente spinto, profetizzando l’unione dei due bot di tipo Trojan “rubatutto” più pericolosi: Zeus e SpyEye.

Per dare una semplice idea, un Bot, abbreviazione di RoBot è un software malevolo un grado di eseguire azioni sulla macchina infetta come un robot informatico (da cui deriva il nome). La questione (poco) divertente dei due citati esempi di Bot consiste nel fatto che non solo sono in grado di rubare informazioni dell’utente dal computer infetto (ad esempio numeri di carte di credito, informazioni del browser, etc.), ma una volta infettata la vittima la trascinano suo malgrado all’interno di una rete di altre malcapitate macchine infette che possono essere loro malgrado utilizzate per compiere azioni illecite (ad esempio l’invio di spam).

Per dare un esempio della gravità del fenomeno, nel poco invidiabile palmares di Zeus rientrano:

  • Furto di informazioni nel 2007 presso il dipartimento US dei trasport;
  • 74000 account FTP rubati a giugno 2009 presos i server di aziende del Calibro di Bank of America, Monster, NASA, Oracle, Cisco, Amazon;
  • Una rete di Botnet composta da circa 3.6 milioni di macchine compromesse nei soli Stati Uniti, resasi protagonista dell’invio di circa 1.5 milioni di messaggi di phishing su Facebook (che rimandano ad un falso sito dove l’ignara vittima scarica il malware e si infetta).

Cosa si può fare per rendere ancora più virulento il malware? Semplice! Unirsi con il malware concorrente più diffuso, SpyEye, e rendere disponibile un kit unico che consenta di crearsi il proprio superbot unione dei due.

Siamo appena entrati nella terza settimana di gennaio e presso il “mercato nero” (con data 11 gennaio 2011) sono già comparsi i primi toolkit del malware combinato:

Il malware è stato messo in circolazione da tale hardesell (evoluzione “furba” dell’harderman autore si SpyEye) ed offre le funzioni di:

  1. Rilevamento delle password con tecniche di Brute Force
  2. Notifica Jabber
  3. Modulo VNC
  4. Auto Diffusione
  5. Auto Aggiornamento
  6. Generatore delle componenti non rilevabile al 100%
  7. Nuovo Sistema di Screenshot

Tutto questo (sgradito) ben di Dio è disponibile, al mercato nero, alla modica cifra di 300$ senza il modulo VNC e la funzione di iniezione file, mentre la versione completa costa 800 $. Cosa sorpnendente, se si considera che il prezzo previsto per la versione combinata si aggirava attorno ai 4000 $.


[Segnalazione dal Blog McAfee]


Get every new post delivered to your Inbox.

Join 3,788 other followers