(advarsel, lang post)

Dette er en oppfølger til min første post om Botnets, introduksjon til hva botnets er, og tanken bak er at bekjempelse er lettere med økt kunnskap. Kunnskap om dette kan kanskje også være en motivasjon til å besørge god sikkerhet i nettverket sitt. Tenkte nå å skrive litt kort om de ulike typene Bots som finnes, eller egentlig familier av Bots.

For hver type finnes det ulike utgaver med små og litt større forskjeller. De aller fleste bot typene videreutvikles ofte og i noen tilfeller settes ulike komponenter sammen for å oppnå det man ønsker. F.eks brukes kanskje en annen rootkit komponent for å gjemme bot'en eller en annen trojaner benyttes for å sette opp en bakdør i tillegg til komponenten som kobler seg på C&C serveren, dette for at Botherd'ern skal ha mulighet til å ta over maskina igjen om denne blir sperret på noe vis fra å kontakte C&C serveren.

Merk at dette forsøkvis er generelle beskrivelser da det finnes et utall varianter i de ulike familiene og bot'er videreutvikles stadig. (Det er noe av det som gjør dem så farlige)

Typer bots

SDBot family Denne familien har vært kjent lenge og har i alle fall eksistert i 5 år. Det finnes hundrevis av avarter og dermed mange navn, familien er kjent under blant annet aliasene Win32.SDBot, IRC-SDBOT, Backdoor.IRC.SDbot.

Den første utvikleren av bot'en la ut både kontaktinfo til seg selv, såvel som kildekode, noe som vel har bidratt til videreutviklingen av denne familien. SDBot baserer seg i utgangspunktet på svak sikkerhetskonfigurasjon for å spre seg. Den hopper blant annet rundt via fileshares ved å bruke blanke eller veldig standard passord (som den kan prøve seg fram til). Ellers sprer de ulike variantene seg noe ulikt, men de fleste installerer også en bakdør. Remote Access Trojan komponenten av SDBot kobler seg til en IRC server og venter så passivt på kommandoer.

SDBot plasseres en kopi av seg selv i %System% katalogen, navnene kan variere veldig derimot (Eks: aim95.exe, service.exe, sys32.exe, syswin32.exe osv) SDBot legger også inn henvisninger i registry, under Run og Runservice nøkkelene. Du kan også detektere infeksjoner basert på IRC trafikk, ettersom SDBot familien i utgangspunktet benytter dette til å styre Botnets.

Etter at SDBot utgaven har koblet seg til C&C serveren kan den brukes til en rekke oppgaver, disse vil derimot variere noe med utgaven. Først og fremst kan eieren av Botnettet hente inn info om maskinen for å finne ut beste bruk. Videre kan han/hun kjøre programmer, besøke nettsteder, redirigere trafikk og ikke minst laste ned oppdateringer til seg selv. Disse kan igjen utvide botens funksjonalitet slik at det passer til hva botherder vil bruke den til.
I enkelte tilfeller der SDBot er blitt funnet har man også funnet separate filer for utvidet funksjonalitet, som f.eks SVKP.sys, en komponent i SVK Protector, som gir beskyttelse mot reverse engeenering, for å gjøre det vanskeligere for antivirus leverandørene å undersøke bot'en. Ulike rootkits er også funnet sammen med SDBot.


RBot familien Dette er en av de mest komplekse familiene der ute, først oppdaget i 2003 og grunnfunksjonaliteten benyttes idag i flere hundre ulike bot utgaver. Rbot familien utvikles stadig, filnavn og tekniker varierer mye og kan også være randomisert. Rbot var også først ute med å bruke komprimering og kryptering for å gjøre deteksjon vanskeligere. RBot er kjent under aliasene W32.Spybot.worm, Worm_R_Bot, Backdoor.RBot.Gen, Win32/Rbot med fler.

Som SDBot bruker RBot utgaver stort sett IRC baserte C&C, så en infisert maskin vil koble seg til adressen angitt og vente på kommandoer. Enkelte utgaver av RBot benytter seg også av Ident tjenesten (tcp port 113). RBot maskiner kan brukes til det samme som SDbot, men her ser man også mer av at maskinene brukes som proxy eller scanner etter og laster opp CD keys, deltar i DDoS angrep, logger tastetrykk eller tilogmed tar opp video fra webcam om dette er installert på maskina.

Rbot sprer seg på ulike måter, men prøver som SDBot å utnytte svake passord på fileshares og flere av utgavene inneholder lange lister av ofte brukte passord. Men RBot ser også etter en rekke kjente sårbarheter i både OS og applikasjoner og benytter disse til å spre seg videre. Enkelte utgaver ser også etter eksisterende bakdører som er opprettet av annen malware og benytter disse selv.

Du vil finne registry nøkler relatert til RBot, også under Run og Runservices nøkkelen. Enkelte RBot utgaver vil også scanne registry og sjekke at alle verdier er slik den vil ha det. Enkelte utgaver av Rbot vil også scanne etter og avslutte prosesser relatert til sikkerhetsverktøy av ulik art eller konfigurasjonverktøy brukeren kan benytte for å reparere og fjerne henvisninger til Rbot programfilene. F.eks Regedit.exe, msconfig.exe, netstat.exe, zonealarm.exe, winupd.exe osv.


Agobot familien Også kjent som Gabot eller Phatbot. Denne familien introduserte tanken om en modularisert bot, en infeksjon foregår derfor som regel i tre faser. Først infisereres maskinen med Bot klienten, som åpner en bakdør. Neste fase forsøker å avslutte prosesser relatert til anvirus og sikkerhetsprogramvare og deretter i siste fase blokkere tilgang fra maskinen til en rekke sikkerhetsrelaterte nettsteder (AV leverandører, online scanning, update osv). Disse ulike modulene kan byttes og oppdateres uavhengig av hverandre.

Familien er også kjent under navn som Worm_Agobot_Gen, Win32/Agobot_Familiy osv.

Agobot spres seg også via fileshares, men har også funksjonalitet for å spre seg via P2P nettverk som Kaaza, Grokster, Bearshare osv. Dette gjøres ved at boten legger seg ut som en fil med et navn mange antagelig ønsker å laste ned. Listen over navn som brukes er delt i to, Liste A inneholder Key Generator, Item Hack, Map Hack osv,  liste B inneholder f.eks Camerion Diaz, Aguilera, Salma Hayek. To elementer, en fra hver liste, kombineres for å lage mer tilfeldige filnavn hver gang.

Agobot søker også opp Balge worm'en og avslutter prosesser relatert til denne om den finnes på systemet. Som de andre familiene legger Agobot også til entries i Run eller RunServicea nøkkelene i registry. De fleste utgavene legger også en kopi av seg selv i %system% katalogen. Filnavnene kan være så mangt, men ofte brukes syschk.exe, svchost.exe sysmgr.exe eller sysldr32.exe.

Agobot baserte bots søker ofte etter CD keys for spill, en lang rekke av dem, men det inkluderer populære spill som Battlefield serien, Command and Conquer serien, FIFA, Unreal osv.


SpyBot familien Spybot er egentlig en avart av SDBot, der hovedforskjellen er at Spybot legger til mye funksjonalitet som nettopp baserer seg på spyware, som for eksempel logger tastetrykk, logger websurfing, henter inn e-post adresser osv. Altså en bot familie mer spesialisert på informasjons innhenting, som SDbot er denne også åpen kildekode. 

Familien er også kjent som Worm_Spybot.gen, Win32.Spybot.gen, W32/Spybot-fam. Spybot sprer seg også ved å forsøke fileshares, men prøver også metoder som spredning via P2P og ikke minst ved å søke etter eksisterende malware/bakdører/sårbarheter på maskinene og utnytte dette til å spre seg selv.

Familien har alle standard bot funksjoner for sentralisert styring, verktøy for informasjonsinnsamlig og funksjonalitet for å spre SPIM. Den prøver også å beskytte seg selv ved å blokkere installering av f.eks XP SP2 og bruk av Windows Sikkerhetssenter.

Spybot plasserer seg også i %system% katalogen og bruker mange ulike navn, blant annet Bling.exe, netwmon.exe og wuamgrd.exe. De ulike variantene vil legge igjen ulike nøkler i registry, de fleste vil bruke Run, RunOnce og RunServices nøklene, men også legge seg inn i Shell Extensions. Andre spor i registry kan være f.eks Kazaa sine innstillinger for delte mapper, enkelt og greit under HKCU\Software\Kazaa.

Spybot kan også detekteres ved at den disabler/enabler enkelte services, noe som vil variere med de ulike utgavene. F.eks vil den gjerne skru av Firewall, Messenger, RemoteRegistry, IIS, telnetsrv etc. Enkelte utgaver setter opp egne HTTP eller TFTP servere på den infiserte maskinen og alle utgaver bruker IRC mot C&C server.



MyTob familien Mytob er også basert på SDbot, men er slått sammen med en mass-maling orm. Til sammen gir dette en mer effektiv spam utsendingsløsning, som også spres raskere enn den gamle ormen alene. MyTob er også kjent som Win32.MyTob-Family, w32/mytob-fam, Worm_MyTob_gen med fler.

MyTob sprer seg via e-post og baserer seg på å lure brukeren til å åpne et attachment som så infiserer maskina. MyTob plasserer en kopi av seg selv i %system% folderen kalt wfdmgr.exe. Du vil også kunne finne spor av den i de ulike Run og Runservice nøkkelene i registry, samt under HKCU\System\CurrentControlSet\Control\Lsa med verdien LSA = wfdmgr.exe og under HKCU\Software\Microsoft\Ole med verdien LSA = wfdmgr.exe

Som de andre familiene nevnt vil bot'en koble seg til en IRC server, ofte irc.blackcarder.net og ikke minst vil du kunne detektere en økning i epost trafikken, ettersom dette først og fremst er en mass-mailer.
Mytob bruker sin egen SMTP server og prøver å gjette mailserveren til mottakeren for å gå direkte på denne.


Storm Worm Akkurat denne ormen og botnetet er spesielt interessant pga ny funksjonalitet og fikk også mye pressedekning en periode. Denne ormen begynte å infisere maskiner 19. januar 2007 og spredde seg raskt via epost med ulike "fengende" eller interessante subjects. Mer detaljer om det på Wikipedia.

Storm installerer også et rootkit, noe som ikke fungerte like bra i de tidligere versjonene, men fra sommeren 2007 hadde de en ny versjon ute som fungerte godt. Dette rootkitet patcher enkelte system drivere som tcpip.sys eller cdrom.sys og blir dermed lastet sammen med disse. Altså færre spor etter rootkitet.

Storm bot'er kan gjøre alt fra å samle inn data, angripe nettsteder, sende epost osv. Stomr brukere flere avanserte teknikker for å beskytte seg selv og gjøre det vanskelig å detektere bot'en. For eksempel vil serverene som bot'en lastes ned fra endre botfilene hvert 30 minutt omtrent og flytte seg rundt i botnettet og DNS serverne som benyttes flyttes rundt mellom ulike bot'er (fast flux). I alle andre botnet er C&C det svake punktet, som gjør at man kan kutte forbindelsen med botherder, men Storm benytter seg av Peer-to-peer istedet og det er derfor ikke sentralisert styring man kan ta ned. Riktignok opptrer enkelte noder som super-noder i P2P nettet, men om en av disse blir tatt vil det ikke ta ned hele botnettet.

I tillegg brukes kryptering av kommunikasjonen og det har også vært detektert selvforsvars prosesser der man har scannet etter bots/sårbarheter i et nett og plutselig er maskina det scannes fra blitt utsatt for DDoS angrep. Dette har vært observert ved scanning av distribusjonsbotene.

Ettersom aktive bot'er er lettere å detektere enn passive er Storm nettet inndelt i moduler, der bare deler av botnet'et tar seg av spredning til enhver tid. Storm ødelegger heller ikke maskinene som er infisert og istedet for å avslutte anti virus prosesser og lignende sørger den bare for at programmene starter, tilsynelatende ok, uten at de egentlig får gjort noe, men dette merker ikke brukeren.

Storm var ikke veldig aktivt i 2007, men det har vært rykter både om at deler av nettet skal selges og/eller har vært leid ut til andre. Det mest merkbare er veksten i nettet og angrepene mot enkelte firmaers nettsteder, typisk firmaer som har jobbet tungt med å analysere og bekjempde nettopp storm.

Den 25.september 2007 var det med en "fiks" i MSRT for å fjerne Storm på infiserte maskiner. MSRT blir sendt ut med WU, og tatt i bruk dersom du har akseptert det. 274.000 maskiner fikk Storm fjernet denne dagen og 180.000 til i perioden etterpå. Dette sier noe om størrelsen på botnettet. Det er fortsatt aktivt.



Bot Trender

Flere ulike bot'er som ligner Storm er begynt å bli synlige ute på nettet, den største "konkurrenten" til Storm er antagelig Nugache, som benytter mye av de samme teknikkene. Enkelte bot'er blir også mer spesialiserte, basert på gode gamle boter, men oppdatert med nye Bot teknikker for kommunikasjon og egen beskyttelse.  F.eks ble Rizo laget basert på Rbot, med mye av den samme funksjonaliteten for kontroll og kommunikasjon som Storm, men spesialisert på å hente inn nettbank brukernavn/id'er og passord fra infiserte maskiner. Det er også tydelig at botnets fortsatt brukes til å tjene penger, men ikke bare på gode gamler måter som å selge personalia eller sende ut spam, nå brukes de mer spesifikt til pump-and-dump børs svindling, ryktespredning i praksis, og blir stadig vekk mer spesialiserte, eller i alle fall med muligheten til å være det.

Vi ser tydelig at bot'ene utvikles i høy fart, med god kunnskap om sikkerhet og deteksjon av bot'er hos utviklerne. I motsetning til tidligere tiders virus utviklere kan det også virke som de "moderne" botnet utviklerne og "eierne" har en langt mer langsiktig strategi, med ønske om å bygge opp stabile og store nett.

Enkelte eksperter, som Dave Dittrich, mener også det utveksles informasjon og erfaring mellom gruppene som utvikler og styrer de store botnettene, som Storm og Naguche. Symantec mener også at vi videre i 2008 vil se nye teknikker og varianter av botnets i 2008. De referer også til eksisterende teknikker de tror kan bli mer utbredt å benytte botnets til, som f.eks phishing. Phishing sites som flyttes rundt, a la dns fast flux, epost som referer til mange ulike nettsteder etc vil gjøre det langt vanskeligere å blokkere.

Personlig tror jeg vi kommer til å se en utvikling der flere botnets ligner Storm og Nugache i arkitektur. Denne typen P2P arkitektur er mye mer motstandsyktig og dermed stabil, spesielt som med nugache der alle noder potensielt kan ta over som C&C noder, en slik mange til mange nettverksoppbyggning gir også det som kalles for "graceful destruction". Selvom noen linker blir borte detter ikke alt sammen og botnet'et vil fungere lenge selv ved aktive motangrep i stor skala. En slik design er også kostnadseffektiv, da botnet'et vil være operativt langt lengere, dermed vokse seg større og kunne sørge for bedre inntjening.

Andre teknikker som gjør nettene mer motstandsdyktige, som kryptering og polymorfe bot'er av ulike typer, tror jeg også vi vil se mer til. Modulariserte bot'er med mulighet til å oppdatere seg selv vil nok også bli mer populære, spesielt om botnettene blir større og ikke minst er operative over lengre tid. Da vil botherd'erne trenge gode muligheter for management, som i større nett generelt, og ikke minst også muligheten til å oppdatere bot'ene eller bare segmenter av bot'netet for å dekke spesielle behov.

Egenbeskyttelse av ulik art i bot'ene vil nok også bli videreutviklet, med nye rootkits, nye veier å sørge for at AV produkter ikke får gjort jobben sin uten at brukeren merker noe vil det nok også bli mer av. Beskyttelses tekniker gjennom direkte angrep slik Storm har gjort er jeg noe mer tvilende til. Dette er aktive og sporbare metoder som avslører deler av botnet'et og jeg vil jo tro det er bedre for botherd'ern å miste en bot eller to enn å avsløre mange. Dessuten er det veier rundt for å få scannet maskiner og likevel være "trygg" selv.

Hvis du vil lese mer om bots og ikke har lest den før, sjekk den første botnet artikkelen.