De dage, da det var enkelte teenagere, der hackede sig ind i computere for sjov, er for længst forbi. Botnet er nu den eneste leg, de gider bruge tid på. Seriøse hackere med en husleje, der skal betales, har opgivet deres anarkistiske principper for nu at bygge enorme globale hære af hjemmecomputere – måske er din eller en af dine venners computere blevet »hvervet«.

Skjult af stadig mere omfattende, sofistikeret sikkerhed, undviger de såkaldte botmestre sig retfærdigheden og praler over for deres ligesindede – og, selvfølgelig, skaber sig en formue ved at leje deres værk ud til hærdede kriminelle.

Tyveri af dit kreditkort og dine bankdetaljer, spamming, phishing, pengeafpresning gennem DDoS angreb (distribueret denial-of-service, hvor der kommer så mange opkald til en server, at den ikke kan håndtere det og derfor bryder sammen) og endda husning af børnepornografi kan nu alt sammen udføres med bare et par museklik. Alt afhængig af mængden, der hentes til hver af de slavebundne, »hvervede« ’zombie’ computere, er disse aktiviteter dog kun toppen af isbjerget.

Forskere er bekymrede for, at botnets allerede indeholder langt mere beregningskraft end verdens hurtigste supercomputere.

Læs også

Windows er sikrere end Mac

  (26. okt)

De 10 største sikkerhedstrusler i 2011

  (15. dec)

Pandaen giver gratis sikkerhed

  (03. nov)

Pas på hacker-angreb i julen

  (26. nov)

Top 3: Årets dummeste computerbrugere

  (01. jul)

Hver tredje computer har virus

  (07. aug)

10 tegn på at du har virus

  (31. aug)

Fakta

Confickerbotnettet har en 18 millioner stor sky med en båndbredde på 28.000Gb/s og rager højt over de nærmeste rivaler, Google og Amazon.

Fakta

I 2009 blev utrolige 88 procent af alle spam e-mail genereret af botnet. Det er en indbringende forretning – spammere tjente 780 millioner dollars (omkring 4.150 millioner kroner) i 2008.

Fakta

Ifølge Kaspersky Lab er de lande, der er mest inficerede med botnet, Brasilien (61,48 procent af alle computere), USA (58,25 procent), Mexico (52,51 procent) og Canada (48,91 procent).

Fakta

Trend Micro sporer omkring 23 millioner spam-botter, og de estimerer, at der er et tilsvarende antal ondsindede informationsstjælende botter også.

Mens et botnets zombie-software måske nok kun tager en lillebitte del af din processors tid, bliver de individuelle botnet samlet set så store, at nogle eksperter er begyndt at blive seriøst bekymrede for den rå kraft, som botmestrene lægger frit tilgængeligt til udlejning til kriminelle. »Med hensyn til styrke, så fejer botnet alle supercomputerne af banen,« siger Matt Sergeant fra MessageLabs.

Hvad mere er, bliver sofistikerede konstruktionssæt nu pakket i peg-og-klik produkter, klar til at blive brugt af ikke-computerkyndige kriminelle, så de nemt kan bygge deres egne botnet. Der er ved at udvikle sig et voksende marked for add-on pakker, som kan udvide et botnet’enes funktionalitet og botnet-software, og nogle som endda kan erstatte en infektion med dets egen, er allerede sluppet ud. Den nyeste udvikling i malware-design er aldrig sket hurtigere.

Set ud fra infektionshastigheder og den rene og skære mængde af stjålen information tilgængelig til salg online, lader det til, at hjemmebrugerne er ligeglade med de risici, de løber, hver gang de bruger internettet.

De fleste har aldrig hørt om botnet eller botmestre, men med en rimelig høj, gennemsnitlig opdagelsesfrekvens, som for tiden ligger på omkring 47 procent, af den mest udbredte type af botnet-software, kunne din computer være inficeret lige nu, og du ville ikke vide det.

Så hvem er det så lige, det er, der kontrollerer vore computere, og hvordan er det lige, de får penge ud af det? For at finde ud af det, fandt vi frem til nogle botnet-jægere, der kæmper mod botmestrene.

Problemets omfang

Rik Ferguson sidder ved sit bord hos Trend Micro (www.trendmicro.com) og taster løs. »Vi har en sælger her, som har 8.000 engelske kort på lager,« siger han, »og de er prissat efter BIN (’bank identification number’, altså bankens identifikationsnummer), og de er prissat til 10 dollars (cirka 53 kroner) pr. kort.

Hvis du køber store partier, for eksempel hvis du køber 100 kort, får du dem for 350 dollars (cirka 1.860 kroner). Bankkonti er normalt prissat på en procentdel af kontoens rådighedsbeløb, snarere end en fast pris.«

Han lirer derefter en liste af konti hos engelske banker af, som der åbenlyst bliver reklameret for i det undergrundsforum, han har infiltreret.

Det er meget vanskeligt at beregne, hvor mange botnets og zombier, der er, som Luis Corrons, teknisk chef ved PandaLabs Security, forklarer. »Det meste af tiden kan vi ikke vide det præcise antal bots,« siger han, »hvis du kan få adgang til C&C- (command & control-) serverne, kan du se statistikkerne; ellers kan du bare gætte,« siger han og fortsætter: »Hvad angår Mariposa-botnetsagen, så mente vi, der var omkring 100.000 til 200.000 computere. Da vi så kunne omdirigere trafikken fra C&C til vores sikre servere, fandt vi ud af, at mængden af forskellige ip-adresser, der lavede en forbindelse, kunne tælles i millioner.«

Maripose-botnettet vides nu at indeholde 12,7 millioner inficerede computere, og det er kun ét enkelt botnet i et væld af mange tusinder andre.

Zeus Tracker-hjemmesiden holder øje med tusinder af Zeus-botnets på en gang, som alle kan lejes af kriminelle.

»Zeus Tracker (https://zeustracker.abuse.ch) følger lige nu et bestemt botnets 1.400 command- og controlservere,« siger Ferguson.

»Der er mere end 1.000 forskellige botnet derude, og det er bare én slags crimeware. Tallene er skræmmende. Antallet af spambots, vi følger, – det vil sige, de kompromitterede ip-adresser, der sender spam, som vi sporer – er på omkring 23 millioner unikke ip-adresser. Det er bare spambots, så man kunne sige, at der sandsynligvis også er et lignende antal informationsstjælende botter derude.« Det samlede antal zombier, som Corrons og Ferguson følger, er tæt på 60 millioner, og størrelserne på andre botnet betyder, at de allerede er klasser over selv enorme beregningsfaciliteter.

Det enorme Conficker-botnet er langt kraftigere end Googles beregningsfacilitet med over en million processorer i skyen med deres kun 1.500Gb/s båndbredde. Conficker menes at have mindst 18 millioner kaprede processorer med en total båndbredde på 28Tb/s. Hvad det gør som det næste, afhænger fuldstændig af, hvem der lejer det, og at leje det er både meget nemt og relativt billigt.

Ifølge iDefense, VeriSigns sikkerhedsefterretningstjeneste, kan et gennemsnitligt beløb på 9 dollars (omkring 50 kroner) i øjeblikket købe dig en times botnet-tid, som du kan bruge, som du lyster. Du kan købe fulde 24 timer for bare 67 dollars (omkring 360 kroner), og det bringer timeprisen ned til lige over 2,79 dollars (omkring 15 kroner). Den potentielle fortjeneste er dog helt enorm.

»Helt utrolige summer finder vej ned i lommerne på folk i botnet-branchen,« bemærker Yuri Namestnikov fra Kaspersky Lab. »I 2008 tjente spammere omkring 780 millioner dollars (cirka 4.150 millioner kroner) på at sende beskeder. Et imponerende resultat for reklamer, som ingen vil have, er det ikke?«

»Det er nu accepteret af mange, at botnet kan tjene og tjener seriøse penge,« samstemmer Dale Pearson fra Security Active. »Der har været mange under 20, som har sat botnet op og tjent mere end 250.000 kroner pr. leje-session. Beløbet, en botmester tjener, er tydeligvis meget afhængig af størrelsen og processorkraften på den hær, han kontrollerer.«

Udvalget af sofistikerede anvendelsesmuligheder for botnet gør dem til online-kriminalitetens schweizerkniv, som Catalin Cosoi, leder af BitDefender Online Threats Lab, forklarer. »Mange botmestre bruger nu en ’mellemmandstilgang’ – hvor de lejer deres botnet ud for et par dollars for at søsætte spam-kampagner i stor stil, til automatiske ping-klik betalingssystemer eller til brug for adskillige andre ting.«

»Disse kunne inkludere at være vært for phishing- og pornografiske hjemmesider på forskellige inficerede computere, udføre ’brute force’password-angreb mod forskellige hjemmesider, bruge netværkene som et anonymiseringsværktøj og så videre.«

Voksende trussel

Det er ikke svært at se, hvorfor kriminelle kan lide botnet. Når først C&C-serverne (som normalt også er kaprede), som hver inficeret maskine vil kontakte for at modtage dets ordre, er etablerede, skal botmestrene bygge, sikre og vedligeholde det størst mulige botnet for at tjene penge. Det har, støttet af nogle specialiserede botnet, hjulpet dem umådeligt, at der er kommet sociale netværk.

»Nogle botnet har særlige formål,« siger Ferguson. »Koobface er et godt eksempel på det. Det er designet til at blive spredt gennem sociale netværk og sigter alene på at stjæle følsomme oplysninger.«

Statistik: Botnets vitale tal - klik på billedet for at forstørre

Kompromitterede konti fra sociale netværk bliver så sat til at slå links op til ondsindede hjemmesider. Hver især kan resultere i hundreder af nye infektioner, når venner bider på krogen uden at tænke over det. Dét at lave et nyt botnet tiltrækker dog også botnet-jægeres opmærksomhed, og således har den generelle struktur af botnet også været nødt til at udvikle sig hurtigt i den fortsatte cyber-kat efter musen leg.

»Conficker er et glimrende eksempel på, hvordan botnet nu bruger peer-to-peer kommunikationskanaler til at modtage instruktioner uden at kræve en kommunikationskanal, der leder direkte til dets operatører,« afslører Jeff Horne, lederen af afdelingen for trusselforskning hos Webroot.

Softwareforfattere drager fordel af nye teknologier, såsom at bruge Twitter til botnet-command- and controltjeneste.

»Effektiv p2p-botnet-kommunikation gør operatørerne sværere at spore, hvilket gør det til den åbenlyse teknik at vælge i fremtidige botnet.«

Elektroniske teknikker er dog ikke de eneste, der bliver brugt. Ifølge David Harley, seniorforsker hos ESET, afslører teknikker såsom ‘afbrydere’ (menneskelige mellemmænd, der bryder det elektroniske spor, som forbinder online-kriminelle) eks-spioners involvering. »Der er noget, der tyder på, at organiseret kriminalitet – særligt i Østeuropa – så sandelig har givet en mulighed for uærligt arbejde for tidligere spioner. Også i Kina er der indikationer af forbindelser mellem hacker-grupper og militæret.«

David Emm fra Kaspersky Lab siger, at det kun er et spørgsmål om tid, før vi ser de første mobile botnet.

Botnet kan også udvikle sig med foruroligende fart for at drage fordel af nye online-teknologier. Et eksempel er det Twitter-baserede botnet, der blev opdaget sidste år af José Nazario fra Arbor Networks. »Hvad det grundlæggende set gør, er, at det bruger Twitter status-beskeder til at sende nye links ud til at formidle forbindelse,« siger han. »Disse indeholder nye kommandoer eller eksekverbare filer til at hente og køre.«

Med det skift vi ser for tiden mod at mere mobil, vil det også ses i botnet-plagen? »Jeg tror det,« siger David Emm fra Kaspersky Lab. Vi har set starten på den trussel, men jeg tror, at det, der mangler med mobiler, er, at folk ikke rutinemæssigt bruger dem på samme måde, som de ville bruge en bærbar computer.

»Jeg arbejder online, men jeg bruger ikke min smartphone til at gøre det, så vi er endnu ikke der, hvor folk er afhængige af dem for at flytte penge rundt og lave finansielle transaktioner. Jeg tror, at når de er, så åbner sluseportene.«

Emm tror dog også, at alsidighed vil hjælpe med at sagte spredningen af mobile botnet. »Der er også nogle bremsende faktorer involveret,« siger han. »På stationære og bærbare computerplatforme styrer Windows. Derfor ville jeg, som en malware-skribent, skrive til Windows og vide, at jeg fik et stort hit. Hvis jeg skriver noget til Symbian, vil det ikke virke på Mac OS. Hvis jeg skriver noget til Mac OS, vil det ikke påvirke Windows Mobile.«

»Det er også blevet nemt for kriminelle, der ikke er computer-kyndige, at bygge nye botnet. Botnet-byggesæt og kontrolkonsoller tillader folk med lidt eller ingen programmeringsviden at skabe og kontrollere botnet,« siger Horne.

Kanter disse nye programmer sig så mod at blive selvstændige produkter? Ferguson siger: »De er produkter, men det er svært at sige, hvor stort markedet er.«

Et eksempel på hvor nemt det er at bygge et simpelt botnet, er et nyt byggesæt kaldet TwitterNET Builder. »Alt i alt et meget fikst værktøj, og script kiddies overalt savler uden tvivl over udsigten til at ramme en hjemmeside med det DDoS fra deres mobiltelefoner,« siger Christopher Boyd fra Sunbelt Software i et blogindlæg om TwitterNETbuilders eksistens.

Med TwitterNET Builder, er alt, en spirende botmester behøver at gøre, at indtaste navnet på en Twitter-konto, som de inficerede maskiner skal overvåge for kommandoer, og så trykke på en knap.

Softwaren skaber en skræddersyet ekserkverbar fil. Botmesteren sender så den eksekverbare fil til ofre, så de kan inficere sig selv. Han poster så en klartekstkommando som for eksempel ’Visit’ til Twitter-kontoen, for at få zombierne til at besøge en side gentagne gange for at lave klik-svindel, eller ’Download’, som får dem til at hente nye ladninger.

Dette er bare et eksempel på en ny slags malware, der bliver udbudt på en undergrundsside – der er dusinvis, der dukker op med jævne mellemrum.

Kriminelle, som ikke vil betale for det senest udviklede botnet-software, piratkopierer det i stigende omfang. Dette har ledt til en besynderlig situation, illustreret ved den seneste version af Zeus-botnet-bygge-softwaren.

»Forfatteren har gjort sig stor umage for at beskytte denne version,« siger Kevin Stevens og Don Jackson, sikkerhedsforskere hos SecureWorks trusselsbekæmpelsesafdeling, i deres online analyse. Zeus’ forfatter har skabt et hardware-baseret licenssystem til Zeus-byggesættet, som du kun kan køre på én computer. »Når du kører det, får du en kode fra den specifikke computer. Dette er første gang, vi har set dette kontrolniveau for malware.«

Botnet-sæt-forfattere slår også mønt på sekundære moduler. For 1.500 dollars (cirka 7.800 kroner) kan du tilføje Backconnect-modulet til dit voksende Zeus-botnet. Dette muliggør direkte forbindelse til en inficeret computer med det formål at logge ind, måske for at tømme stjålne bankkonti. Når myndighederne stormer computerens ejer, så finder de ikke andet end en uheldig person med en inficeret computer.

Penge og motivation

Ifølge BitDefenders Catalin Cosoi, så er det ikke bare penge, der motiverer botmestrene. »Selvom det er nemt at se botmestre som motiverede alene af kriminel vinding, så spiller faktorer som konkurrence, berømmelse og opbyggelse af rygte en central rolle i manges motivation.«

»Vi kan i store træk opdele motivationen i to klasser: Den cyber-kriminelle der er motiveret af penge, og som er ude efter at maksimere den økonomiske gevinst fra deres aktiviteter. For den anden type er det fællesskabet, hvor flere botmestre sameksisterer, der fører til et stærkt konkurrencepræget element. For en botmester giver det en stærk følelse af magt og overlegenhed at have hundreder til tusinder af maskiner til deres rådighed.«

BitDefenders Catalin Cosoi påstår, at ikke alle botmestre er motiverede af penge.

Botnet handler selvfølgelig også om profit, som Trend Micros’ Ferguson forklarer. »Kriminelle tjener penge på at sælge adgang til inficerede maskiner, på at distribuere andre kriminelles software og på at bruge deres botnet til distributionen. De tjener penge på at udleje adgang til botnettene til at sende spam ud eller til at udføre denial of service-angreb.«

Der dukker ikke overraskende også malware op, der udnytter eksisterende infektioner. Tidligere i år så forskere de første eksempler på et nyt botnet-værktøjssæt kaldet SpyEye, som indeholder funktionaliteten til at spionere på de data, der blev opfanget af computere inficeret med Zeus-software.

En phishing side der spreder Koobface-botnettet. Du er nødt til at hente ondsindet kode for at se videoer.

Det kan endda slå eksisterende infektioner ihjel og erstatte dem med deres egen zombie-kode. »Der er også en kamp mellem de mere kyndige folk, som skriver deres egen kode, i modsætning til at snuppe kode, der er frit tilgængeligt, eller stjæle andre folks botnet,« siger Dale Pearson fra Security Active.

»Nogle vil prøve at afdække andre folks botnet og så tage kontrol over dem for at bygge deres eget net op, i modsætning til at gøre det hårde arbejde med phishing og spamming og inficere folk.«

Jagten på botmestrene

Så hvor i verden befinder botmestrene sig? »Det er et godt spørgsmål; det er et interessant spørgsmål,« siger Ferguson. »Den rene og skære sandhed er, at med hensyn til de mennesker, der kører botnettene, så er fænomenet i sandhed globalt. Jeg mener, hvis du tager eksemplet med Zeus, som sandsynligvis er det mest udbredte crimewareudstyr, er der en rigtig god hjemmeside kaldet Zeus Tracker, og den vil vise dig et realtidskort over hvor botnettenes command- og controlservere er. Der er selvsagt geografiske koncentrationer, men de findes mere eller mindre globalt.«

Brugen af botnet spreder sig hastigt – et Zeus agent (zombie) værktøjssæt er endda tilgængeligt til download fra gratis-software siden Sourceforge.net.

Læs også

Windows er sikrere end Mac

  (26. okt)

De 10 største sikkerhedstrusler i 2011

  (15. dec)

Pandaen giver gratis sikkerhed

  (03. nov)

Pas på hacker-angreb i julen

  (26. nov)

Top 3: Årets dummeste computerbrugere

  (01. jul)

Hver tredje computer har virus

  (07. aug)

10 tegn på at du har virus

  (31. aug)

Fakta

Confickerbotnettet har en 18 millioner stor sky med en båndbredde på 28.000Gb/s og rager højt over de nærmeste rivaler, Google og Amazon.

Fakta

I 2009 blev utrolige 88 procent af alle spam e-mail genereret af botnet. Det er en indbringende forretning – spammere tjente 780 millioner dollars (omkring 4.150 millioner kroner) i 2008.

Fakta

Ifølge Kaspersky Lab er de lande, der er mest inficerede med botnet, Brasilien (61,48 procent af alle computere), USA (58,25 procent), Mexico (52,51 procent) og Canada (48,91 procent).

Fakta

Trend Micro sporer omkring 23 millioner spam-botter, og de estimerer, at der er et tilsvarende antal ondsindede informationsstjælende botter også.

»Enhver fra ethvert land kan blive en botmester,« siger Panda Labs’ Corrons. »Din nabo kunne være en af dem, selv hvis han ikke er en erfaren computerbruger, som vi ser fra de involverede og arresterede i forbindelse med Mariposa-botnettet.«

»Det lader til at være et internationalt tidsfordriv at drive botnet sammen, ligesom fodbold,« samstemmer Aryeh Goretsky fra ESET, hvor han har titel af fremtrædende forsker. »Vi har set botmestre fra hele verden med varierende evner og viden, lige fra mindreårige i Amerika, som ikke forstod, hvad deres botnet gjorde, fordi de var blevet overdraget til dem, da deres tidligere ejere kom over den kriminelle lavalder og dermed kunne straffes, til sofistikerede kriminelle organisationer i Østeuropa.«

Værktøjssættet SpyEye kan erstatte en Zeus-infektion med dets egen kode.

Læs også

Windows er sikrere end Mac

  (26. okt)

De 10 største sikkerhedstrusler i 2011

  (15. dec)

Pandaen giver gratis sikkerhed

  (03. nov)

Pas på hacker-angreb i julen

  (26. nov)

Top 3: Årets dummeste computerbrugere

  (01. jul)

Hver tredje computer har virus

  (07. aug)

10 tegn på at du har virus

  (31. aug)

Fakta

Confickerbotnettet har en 18 millioner stor sky med en båndbredde på 28.000Gb/s og rager højt over de nærmeste rivaler, Google og Amazon.

Fakta

I 2009 blev utrolige 88 procent af alle spam e-mail genereret af botnet. Det er en indbringende forretning – spammere tjente 780 millioner dollars (omkring 4.150 millioner kroner) i 2008.

Fakta

Ifølge Kaspersky Lab er de lande, der er mest inficerede med botnet, Brasilien (61,48 procent af alle computere), USA (58,25 procent), Mexico (52,51 procent) og Canada (48,91 procent).

Fakta

Trend Micro sporer omkring 23 millioner spam-botter, og de estimerer, at der er et tilsvarende antal ondsindede informationsstjælende botter også.

»Kina har gjort sig bemærket med målrettet malware,« siger Goretskys’ kollega David Harly, »men de er også de næststørste udsendere af spam (USA er nummer et) og har en blomstrende DDoS industri. Brasilien og Rusland har en skummel fortid i udviklingen af trojanere rettet mod banker. Rusland fører sikkert i udvikler-ressourcer med godter som Zeus-malware og utallige pakker, der udnytter sårbarheder.«

Modstandskampen

Vi har nu en god forståelse af et botnets livscyklus, men hvordan man kommer dem helt til livs, er ikke så veldefineret. »Når en botnets command- og controlserver først er skabt, skal botnetmestre blot få deres ondsindede kode ud på en vært,« siger Webroots Jeff Horne. »De inficerer måske ofres computere med exploitsæt (software der udnytter kendte sårbarheder) på drive-by download-sider, vedhæftede filer i emails eller ved hjælp af social engineering teknikker«.

»Så snart de er inficerede, registrerer ofrenes computere sig selv hos C&C-serverne for konstant kommunikation, eller de tjekker ind på serveren regelmæssigt efter nye instruktioner, kode eller for at sende information til serveren, såsom tastatur-logs, kodeord, kreditkortinformation…«

Når de er etablerede, sender botmesteren bølger af spam ud, der peger på specielt inficerede hjemmesider, der rekrutterer flere zombier, og således vokser botnettet – men det tiltrækker sig også opmærksomhed, og et våbenkapløb udvikler sig mellem botnettesforfatter og antivirus-virksomhederne.

Botnet-værktøj såsom MPack bruger nu grafiske peg-og-klik konsoller.

Det er ikke svært at holde botnettets malware opdateret, selv for en ikke-koder, som BullGuards tekniske chef Claus Villumsen forklarer: »Botnetmestrene betaler omkring 250 dollars (cirka 1.330 kroner) for at få lavet en ny virus, og yderligere 25 dollars (133 kroner) om måneden for at holde den opgraderet for at prøve at undgå at blive opdaget af virusskannere.«

Når der nu er så mange mennesker, der stadig ikke bruger ajourført antivirus software, efterhånden som botnettene vokser, så bliver det klart, at det bedste at gøre er spore botnettene og afbryde deres kommandoveje.

»Det bliver gjort ved at fjerne botnettenes command- og control-elementer ved at angribe deres servere,« siger Catalin Cosoi. »Dette er ikke en nem opgave, siden de fleste botnet har flere C&C-servere, og de har alle mulighed for at opdatere deres kode ligesom ethvert andet softwareprodukt. For at lykkes, skal alle C&C-serverne tages ned på samme tid.«

»Den svære del er at finde C&C-serverne,« er Security Actives’ Dale Pearson enig i. »De er alle i private fællesskaber, så en del af kampen er at blive opslugt af det miljø.« Selv hvis du kan tage alle et botnets C&C-servere permanent offline, så er zombie-hæren stadig derude, og den ringer jævnligt hjem. »Mariposa-strukturen havde inficeret næsten 13 millioner maskiner, og den struktur er stadig i live,« siger Rik Ferguson. »Det faktum, at fyrene blev arresteret, fjernede ikke botnettet.«

Isp-spørgsmålet

Det ene aspekt af botnet-krisen, som vi ikke har dækket, er den rolle, isp’en (Internet Service Provider, internetudbyderen) kan spille. De må da kunne knække et botnet ved ganske enkelt at nægte dem båndbredde?

»Der er et par ting, de kunne prøve at gøre,« siger Pearson. »De kan bruge pakkefiltreringssoftware til at identificere, når et botnet kører over deres netværk og lokalisere zombie-computerne. Måden at dræbe et botnet på er at afbryde maskinerne, men det vil irritere deres kunder. De kan også undertrykke udgående mailtrafik, hvis det bliver brugt til phishing og spam, men igen har det konsekvenser for deres egne brugere.«

Et andet problem for isp’ere er, at botmestre ikke har det med ikke at udleje deres værks fulde styrke på én gang. Det tiltrækker sig for meget opmærksomhed både fra isp’en og fra botnet-jægerne at bruge den fulde styrke på en gang, som David Emm forklarer.

»Vi er begyndt at se botnet brugt som en kårde, snarere end som en muskedonner, til aktiviteter, så det gør det svært for isp’en at se hvilken aktivitet, der er, uden industriens hjælp. Der er industri-initiativer, der prøver at arbejde med disse problemer. Conficker-arbejdsgruppen er sikkert den mest kendte af disse.«

Zeus Tracker-hjemmesiden viser udbredt aktivitet i realtid, men kan isp’erne hjælpe med at vinde botnet-krigen?

Isp’ere, sikkerhedsfirmaer, myndighederne og måske endda omvendte crackere, der arbejder sammen, er den bedste måde at bekæmpe botnet-plagen, men betyder dette, at dovne hjemmebrugere kan fortsætte uden ordentlig beskyttelse?

»Når det kommer til modforanstaltninger, så er det en vigtig del af processen at opdage malwaren, men det er bare et lag,« siger ESETs David Harley. »Vi arbejder med andre grupper som for eksempel ordensmagten, sammenslutninger som Conficker-arbejdsgruppen og nogle noget mere skjulte grupper, der ikke påskønner offentlighedens søgelys – vi ved, at de slemme fyre holder lige så nøje øje med os, som vi med dem.«

Topologier: Bontet-strukturer afsløret

Opdag forskellen mellem botnet-netværk, og hvorfor de er så kraftige og robuste

Botnet har for øjeblikket kun fire grundlæggende topologier. Et hierarkisk botnet har et eller flere lag af C&C-servere, som kommunikerer med botmesterens egen computer og de zombier, som udgør botnettet.

Topologier: Bontet-strukturer afsløret

En stjerne-topologi har en central C&C-server, som de inficerede zombier kommunikerer med direkte. En multi-server topologi kræver mere planlægning at implementere end en stjerne, men den sender ordrer til zombierne fra en pulje af C&C-servere, som også kommunikerer med hinanden.

Den mest robuste topologi bruger dog en peer-to-peer struktur i hvilken C&C-funktioner bliver distribueret mellem måske mange tusinder C&C-servere. Sådanne botnet er meget robuste over for svigt og opdagelse. Det betyder ikke meget for det samlede botnet at fjerne endda hundreder af C&C-servere, hvilket udgør en kæmpe udfordring for de professionelle botnet-jægere.

I levende live: botmestrene

Da PandaLabs mødte hjernerne bag Mariposa

Luis Corrons fra PandaLabs mødte i marts i år botmestrene bag Mariposa-botnettet ansigt til ansigt – i firmaets Bilboa hovedkvarter! Forbløffende nok kom parret ikke efter hævn men for at søge arbejde med cv’er i hånden. »Det lyder virkelig utroligt – jeg kunne ikke tro det, da de kom og spurgte efter et job. Det første, jeg tænkte, var, at det måske var skjult kamera,« afslører han.

Corrons gik ud for at købe tyggegummi, da han havde brug for byttepenge til kaffemaskinen. Elevatorerne var fyldte, så han tog trappen. »Lige som jeg nåede bunden, mødte jeg et par unge fyre på vej op ad trappen,« siger han. »Det var en lille smule lurvede – en af dem have langt hår og en sportstaske. Jeg sagde hej og fortsatte på min vej.«

I levende live: botmestrene

Parret identificerede så sig selv med øgenavnene Osiator og Netkairo, arresterede efter Panda Labs’ nedrivning af Mariposa-botnettet. De havde brug for penge og henvendte sig til Corrons for at få arbejde – de lod ikke til at forstå, at de ikke var passende jobkandidater for et online sikkerhedsfirma.

»Jeg vil tro, at de fyre havde set for mange film,« reflekterer Corrons. »Vi har alle hørt rygterne: ’Det er antivirus-selskaberne, der frigiver vira, så folk er nødt til at købe deres software.’ Selvom enhver kan se, at det ikke er sandt.«

Angreb: Målrettede udnyttelser

Et vedholdende angrebs styrke kan overvinde næsten alle sikkerhedsforanstaltninger

De fleste botnet går efter én bestemt slags information ad gangen (adgangsoplysninger til netbank, for eksempel), men får den kriminelle dem nogensinde til at gå efter en bestemt organisation andet end under DDoS angreb?

»Værktøj til fjernadgang – hvilket er hvad et botnet i bund og grund er – bliver brugt i målrettede kompromitteringer,« siger Trend Micros Rik Ferguson. Aurora-tingen er det mest prominente nylige eksempel på det, hvor Google i starten af året blev kompromitteret.

Angreb: Målrettede udnyttelser

»Operation Aurora var et langstrakt cyber-angreb, som varede hele anden halvdel af 2009, og som resulterede i et succesfuldt brud på Googles sikkerhed. De brugte grundlæggende fjernadgangsværktøj og gik efter konti, hvor bestemte Google medarbejdere modtog beskeder med en url i,« siger Ferguson.

»Url’en tog dem til en hjemmeside, der prøvede at automatisere proceduren med at inficere et offer. Botnet-værktøj bliver altså brugt til målrettede angreb, men er på grund af deres natur selvfølgelig langt mindre synlige.«

Botmestre retter også deres opmærksomhed mod internetvendte servere, ikke for at bruge dem som command- og controlservere, men for at bruge dem som malware-værter. Botmesteren skal bare distribuere det korrekte software til sit botnet for at skabe en omfattende parallel kodeords-knusende facilitet og så pege den mod den server, som han har brug for adgang til.

Angreb: Målrettede udnyttelser

Det tog kinesiske crackere omkring seks måneder at inficere Google ved at bruge exploits målrettet individuelle emailkonti.

Læs også

Windows er sikrere end Mac

  (26. okt)

De 10 største sikkerhedstrusler i 2011

  (15. dec)

Pandaen giver gratis sikkerhed

  (03. nov)

Pas på hacker-angreb i julen

  (26. nov)

Top 3: Årets dummeste computerbrugere

  (01. jul)

Hver tredje computer har virus

  (07. aug)

10 tegn på at du har virus

  (31. aug)

Fakta

Confickerbotnettet har en 18 millioner stor sky med en båndbredde på 28.000Gb/s og rager højt over de nærmeste rivaler, Google og Amazon.

Fakta

I 2009 blev utrolige 88 procent af alle spam e-mail genereret af botnet. Det er en indbringende forretning – spammere tjente 780 millioner dollars (omkring 4.150 millioner kroner) i 2008.

Fakta

Ifølge Kaspersky Lab er de lande, der er mest inficerede med botnet, Brasilien (61,48 procent af alle computere), USA (58,25 procent), Mexico (52,51 procent) og Canada (48,91 procent).

Fakta

Trend Micro sporer omkring 23 millioner spam-botter, og de estimerer, at der er et tilsvarende antal ondsindede informationsstjælende botter også.

En kompromitteret server kan levere nye filer til zombier uden at botmesteren er direkte involveret i distribueringsprocessen. Den kan også gemme ondsindede filer til download under et drive-by angreb fra undergravende hjemmesider efter den indledende infektion har fundet sted.

Hvis serveren har SSL-kapaciteter, så er den endda endnu mere værdsat som en distribueringsmetode, fordi alle forbindelser, der bliver lavet til den, er krypterede. Dette forhindrer antivirus-software i at skanne filerne og afvise dem.

En net gevinst: Botnet i fredstid

Tæmning af masser af computeres kræfter til gavnlige projekter

Du husker måske dillen med at tilslutte sig jagten på udenjordisk liv ved at hente pauseskærmen SETI@Home. Pauseskærmen henter og behandler meget små informationspakker ad gangen i håbet om at finde et signal fra rummet. Da det er en pauseskærm, gør den det, når computeren går i tomgang.

SETI-projektet fortsætter, og det samme gør andre, men parallellerne mellem det anvendte distribuerede beregningssoftware og det, der bliver brugt til et moderne botnet, er slående. Med millioner af inficerede maskiner er den rene og skære beregningskraft, som et stort botnet indeholder, rystende. Conficker, for eksempel, menes at have slavebundet omkring 18 millioner processorer foreløbig. Forestil dig hvor meget et legitimt botnet kunne vokse?

En net gevinst: Botnet i fredstid

I teorien burde det være muligt at skabe et ’fredstids’botnet med fuldt overlæg, som folk kan melde sig aktivt ind i og vide kører på deres computere, og som kan tage brugbar, ikke-ondsindet kode at arbejde med, når computeren går i tomgang. David Emm fra Kaspersky Lab tilråder dog forsigtighed omkring sådan et projekt, selvom beregningskraften, der kan tæmmes, potentielt er alle vegne.

»Idéen om den traditionelle arbejdsplads er ved at forsvinde, og hvad jeg har brug for, er at være i stand til at arbejde hjemmefra, at forbinde mig når jeg er i lufthavnen, på hotellet,« siger Emm.

»Der er et stort overlap mellem personlig og forretningsmæssig brug af netværk. Men vil det blive brugt af en tredje part? Jeg tror, mange mennesker ville være forsigtige med at overdrage deres computeres kraft. Det vil måske skabe noget bekymring.«

Internettet: Hvor botmestrene bor

Det er et globalt fænomen, men der er klart brændpunkter…

»Cyberkriminalitet som et fænomen er globalt, men det er koncentreret i hvert fald i Rusland, specielt i Ukraine, og Brasilien er berømt for bank-malware,« siger Trend Micros’ Rik Ferguson. »Vi har set mange kompromitterede maskiner i Kina, Tyrkiet og Spanien, men igen, det er vigtigt at huske på, at det i sandhed er globalt.«

Mange mennesker nævner Kina som et malware brændpunkt. De er også de næststørste sendere af spam efter USA, og de har en livlig DDoS industri. Brasilien og Rusland har en markant fortid inden for udviklingen af trojaner-teknologi, og mange af værktøjssættene til peg-og-klik opsætningen af botnet stammer fra Rusland.

Selvom botmestrene i bogstaveligste forstand kan være hvem som helst og være baseret hvor som helst i verden, så er beviserne, som de botnet-jægere, vi har snakket med, har samlet, og de kendte placeringer af de mest aktive C&C servere, har gjort os i stand til at tegne dette kort over botmestrenes potentielle hjemlande.