Retelele botnet atacul, comanda si controlul

O retea botnet este compusa din computere care, fara stirea

utilizatorului, au fost compromise prin exploatarea unor vulnerabilitati de
catre o aplicatie malware si sunt manipulate prin IRC pentru a derula
activitati nocive, cum ar fi trimiterea de mesaje spam sau spyware catre alte
computere de pe Internet. Aceste computere bot actioneaza sub comanda
unui singur hacker (sau grup de hackeri de dimensiuni reduse) denumit
botmaster.
Dupa ce un botmaster creeaza o retea botnet, aceasta poate fi folosita in
diverse scopuri:

lansarea de atacuri de tip Distributed Denial of Service (DdoS);

transmiterea de mesaje e-mail spam sau mesaje ce incearca obtinerea
unor informatii prin elemente de social engineering;
controlul calculatoarelor de la distanta;
raspandirea de aplicatii keylogger sau sniffer-e de retea aplicatii care
detecteaza si intercepteaza traficul in retea.

Retelele botnet pot cumula o putere de procesare incredibila, datorata

distribuirii executiei diverselor aplicatii create de atacatori si pot lansa
atacuri variate catre un numar foarte mare de tinte. Spre exemplu, un
botmaster poate comanda fiecarui computer inrolat in reteaua botnet sa
transmita mesaje spam, sa culeaga date ale cartilor de credit (folosind
aplicatii keylogger care inregistreaza caracterele introduse la tastatura) sau
sa lanseze atacuri DDoS impotriva a sute de tinte. Numarul retelelelor botnet
este in continua crestere, sunt din ce in ce mai sofisticate si puternice,
compuse din aplicatii de control bot dezvoltate pe baza cunostintelor
obtinute de la variantele precedente.
Retelele botnet folosesc elemente de social engineering si distributia de emailuri pentru infectarea altor calculatoare. O retea botnet poate distribui
mesaje e-mail infectate cu aplicatii malware, sau cu link-uri care
directioneaza utilizatorul spre site-uri compromise, unde sistemele sunt
infectate in cateva secunde cu o varietate de virusi, spyware si adware.
Tehnicile de inginerie sociala pot consta in mesaje de genul Fotografia lui X
si un atasament infectat care pare a fi o imagine jpg prin care se incearca
inducerea in eroare a utilizatorului pentru a lansa aplicatia nociva. Retelele
botnet se pot extinde singure, prin identificarea si contaminarea altor

computere vulnerabile din cauza sistemelor de operare sau a browser-elor

folosite. Astfel, un numar tot mai mare de computere participa la activitatile
coordonate ale retelelor botnet.
Unul dintre cele mai frecvente tipuri de atac este DDoS Distributed
Denial of Service, in cursul caruia un numar foarte mare de computere
compromise ataca o singura tinta, care nu mai poate indeplini functiile pe
care le asigura in mod normal pentru utilizatori. Astfel, sistemele vizate sunt
determinate sa nu mai raspunda la comenzi. La inceput, retelele botnet
lansau atacuri impotriva marilor organizatii ca Yahoo sau Microsoft; atacurile
recente insa au vizat corporatii santajate de atacatorii care solicitau
transferul unor sume de bani pentru a nu initia actiuni agresive. In caz
contrar, atacurile lansate puteau duce la intreruperea activitatii la companiile
respective.
Retelele botnet sunt folosite si pentru a disemina un numar foarte mare de
mesaje spam din cauza ca urmarirea traseului parcurs de aceste mesaje si
identificarea sursei este foarte dificila. Unele mesaje spam sunt folosite
pentru a raspandi aplicatii nocive sau pentru a determina utilizatorii sa
acceseze site-uri web compromise, unde sistemele sunt asaltate de aplicatii
malware prin exploatarea vulnerabilitatilor browser-elor Internet.
Astfel, retelele botnet sunt folosite frecvent pentru furtul de identitate
prin spyware keylogger si aplicatii sniffer de interceptare a traficului in
retea. Aplicatiile keylogger modifica sistemele de operare gazda pentru a
spiona activitatile utilizatorului si a inregistra caracterele introduse de la
tastatura. Programele sniffer monitorizeaza traficul derulat in reteaua locala
la care are acces computerul contaminat, inregistreaza datele importante, le
compileaza si le trimit catre botmasteri, folosind canale IRC sau mesaje email catre adrese prestabilite.
Atacatorii controleaza retelele botnet in trei moduri: centralizat, peer to
peer sau aleator. Comanda si controlul (C&C) retelelor botnet este unica si
este putin probabil sa se schimbe odata cu schimbarea variantelor de bot.
C&C sunt esentiale pentru mentinerea unei retele botnet operationale si
eficiente si constituie totodata cel mai vulnerabil aspect al acestor retele.
Daca sunt intrerupte comunicatiile sau sunt folosite metode de anihilare a
metodelor C&C, atacatorii nu vor putea contacta un numar mare de statii
compromise si nu vor putea lansa atacuri coordonate la scara larga. Din
acest motiv, intelegerea functiilor C&C este foarte importanta in combaterea
retelelor botnet.

Modelul centralizat de control al retelelor botnet este in prezent cel

ma raspandit. Botmaster-ul selecteaza un singur calculator compromis cu o
putere de procesare apreciabila si care este conectat la o retea cu capacitate
mare de trafic. Acesta indeplineste rolul de centru de comunicatii cu toate
celelalte statii bot. Serverul C&C, care de obicei este tot un calculator
compromis, ruleaza anumite servicii ca IRC sau HTTP. Daca un nou computer
este infectat de un bot, acesta isi semnaleaza disponibilitatea prin
contactarea serverului C&C si apoi asteapta comenzi de la acesta. Retelele
botnet au propriile mecanisme de protejare a comunicatiilor, cum ar fi
folosirea de canale IRC cu parole cunoscute doar de aplicatiile bot si de
botmasteri, pentru a preveni interceptarea informatiilor transmise.
Unii autori de aplicatii botnet au inceput sa implementeze sisteme
alternative de comunicare, mai putin dependente de disfunctionalitatile din
retea. Modelul C&C P2P este mult mai dificil de detectat si anihilat. Din
cauza ca sistemul nu depinde de un numar limitat de servere, distrugerea
unui bot sau anihilarea unui anumit numar de sisteme compromise nu va
afecta functionalitatea retelei botnet. Totusi, retelele botnet P2P au anumite
limitari. In primul rand, pot incorpora un numar limitat de computere
compromise, de obicei intre 10 si 50 de statii, in comparatie cu o retea
centralizata botnet de mici dimensiuni care poate folosi 1000 de sisteme
infectate. In al doilea rand, acestea nu garanteaza livrarea mesajelor si apare
o latenta in propagarea instructiunilor care face coordonarea mai dificila
decat in cazul retelelor centralizate. Aceste dezavantaje au facut ca retelele
P2P sa nu fie adoptate la scara larga, cele cateva retele botnet P2P existente
in prezent fiind folosite de hackeri pentru a ataca un numar redus de tinte.
Pe masura ce vor deveni disponibile noi cunostinte privind implementarea
retelelor P2P botnet, probabil vor fi descoperite si metode de depasire a
acestor limitari.
Modelul C&C aleator nu este inca folosit de retelele botnet existente,
dar teoretic ar putea asigura supravietuirea sistemului. In cadrul medelului
aleator, botii nu contacteaza alti boti sau botmaster-ul pentru instructiuni, ci
asculta toate comunicatiile initiate de botmaster. Pentru a lansa atacuri,
botmaster-ul scaneaza pe Internet pentru a descoperi statiile bot active. Desi
este usor de implementat si foarte rezistent la incercarile de identificare si
distrugere, modelul are probleme privind scalabilitatea si este dificil de
utilizat pentru atacuri coordonate de mare amploare.

Atacuri DoS
Atacurile de tip denial of service (DoS) sunt parte integrant din
realitatea Internetului de astzi. Obiectivul atacului este de a mpiedica
utilizatorii legitimi de a accesa sistemul victim sau resursele reelei. Iniial,
atacurile de acest tip au constituit o form de vandalism asupra serviciilor
Internet, ns cu timpul au devenit mai rafinate, viznd anumite grupuri de
utilizatori. Cteva exemple ilustrative sunt: atacul asupra infrastructurii
Estoniei [Naz07-2], atacul asupra site-urilor de socializare (Twitter,
Facebook), atacul asupra site-ului Wikileaks [Par10].
n literatura de specialitate, exist mai multe clasificri ale atacurilor DoS n
funcie de factori cum ar fi: gradul de automatizare, tipul de
vulnerabilitate exploatat, modul de efectuare a atacului,
mecanismele de comunicare utilizate de atacatori [Mir02]. Sunt
prezentate dou tipuri de clasificri: dup gradul de indirectare ntre
atacator i victima i dup tipul resurs exploatat.
n funcie de gradul de indirectare ntre atacator i victim atacurile DoS se
clasific dup cum urmeaz.

A. Atacuri DoS directe

Atacurile directe sunt forma cea mai simpl de generare a unui atac, prin
care atacatorul trimite cereri de serviciu ctre victim cu o frecven foarte
mare pentru a-I epuiza unele din resursele cheie (CPU, memorie, band).
Aceasta conduce la refuzul de servicii pentru clienii legitimi ai victimei.

Figura 1. Scenariu de atac DoS direct

B. Atacuri DoS distribuite (DDoS)

Un atac de tip DoS distribuit (DDoS) este un atac coordonat pe scar larg
asupra disponibilitii serviciilor oferite de sistemul victim sau resursele
reelei lansat indirect prin intermediul mai multor staii Internet compromise.
Serviciile atacate sunt cele ale staiei victime primare n timp ce sistemele
compromise utilizate n lansarea atacului sunt adesea numite victime
secundare. Utilizarea victimelor secundare n desfurarea unui atac DDoS
ofer atacatorului posibilitatea de a realiza un atac pe scar mai larg i cu
efecte distructive mult mai mari, i face mult mai dificile operaiile de
identificare a atacatorului iniial [Mir04].
Un atac DDoS utilizeaz mai multe sisteme n lansarea unui atac DoS
coordonat mpotriva uneia sau mai multor inte.

Figura 2. Scenariu de atac DDoS

C. Atacuri DoS bazate pe reflectori (RDoS)

Detecia atacurilor poate fi ngreunat prin utilizarea reflectorilor n
distribuirea traficului DoS. n esen, agenii nu vor trimite cererile ctre
int, ci ctre nite intermediari, numii reflectori. Un reflector este orice

staie IP care va rspunde la orice pachet trimis ctre el (un exemplu de

reflector este un server web). Dac adresa intei este pus ca adres surs n
pachetului trimis de agent ctre reflector, rspunsul reflectorului va fi trimis
ctre int. Prin utilizarea acestui mecanism se mrete numrul de
indirectri ntre atacator i int, i se realizeaz o dispersie a surselor de
atac (orice main accesibil n mod public poate fi utilizat ca reflector),
ceea ce ngreuneaz depistarea atacatorului [Pei04].

Figura 3. Scenariu de atac RDoS/RDDoS

Atacuri DoS asupra reelelor

Acestea sunt atacuri simple de efectuat ce consum lrgime de band prin

inundare (flooding). Obiectivul atacatorului este de satura legturile de
reea pentru a prbui ruter-ele i switch-urile sau inundarea cu trafic peste
posibilitile de prelucrare. Din nefericire, uneltele necesare pentru un
asemenea atac sunt disponibile pe Internet i chiar utilizatorii fr experien
le pot folosi cu succes. Atacurile de inundare copleesc resursele victimei
prin volumul lor. Deoarece pachetele de atac pot fi de orice tip, pot avea
orice coninut, iar volumul mare de trafic mpie-dic o analiz detaliat a
traficului, strategia pentru contracararea acestui tip de atac presupune ca
detecia i blocarea traficului de atac ct mai aproape de surse, ceea ce
implic o conlucrare ntre furnizorii de servicii Internet.
A. ICMP Flood

Acest atac const din trimiterea unui numr mare de pachete ICMP ctre
victim. Aceasta nu poate ine pasul cu volumul de informaie primit i poate
observa o degradare a performanei. Implementri ale acestui tip de atac se
gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K [Har09].
B. Smurf Flood
Atacul Smurf este o variant de ICMP flood n care un pachet
ICMP_ECHO_REQUEST avnd valoarea adresei surs setat cu adresa staiei
int este trimis ctre o adres de broadcast. RFC pentru ICMP specific c
nu trebuie generate pachete ICMP_ECHO_REPLY ctre adresele de broadcast,
ns multe sisteme de operare i productori de rutere nu au ncorporat
aceast cerin implementrile lor. Ca urmare, staia int va primi pachete
ICMP_ECHO_REPLY de la toate staiile din reea [Sin10]. Astfel de atacuri sunt
numite atacuri cu amplificare sau cu re-flexie. Implementri ale acestui tip de
atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, TFN2K.

Figura 4. Scenariu de desfurarea a unui atac de tip Smurf flood

C. UDP Flood (Fraggle)
Acest atac este posibil datorit naturii protocolului UDP care nu este orientat
pe conexiune. Din moment ce nu este necesar nici un dialog n prealabil, un
atacator poate trimite pachete ctre porturi aleatoare ale sistemului vizat.
Victima va aloca resurse pentru determinarea aplicaiilor care ascult
porturile pe care sosesc date, iar cnd realizeaz c nici o aplicaie nu face
acest lucru, va trimite ca rspuns un pachet ICMP. Dac numrul de pachete
aleatoare este suficient de mare exist posibilitatea ca sistemul s aib
probleme. Implementri ale acestui tip de atac se gsesc n urmtoarele
unelte DDoS: Trinoo, TFN, Stacheldraht, Shaft, TFN2K, Trinity.

D. Chargen

Acest atac este o variant a atacului de tip UDP Flood i folosete portul 19
(chargen) al unui sistem intermediar folosit ca amplificator. Atacatorul trimite
un pachet UDP fals ctre un sistem intermediar care la rndul su rspunde
cu un ir de caractere victimei, pe portul su echo. Victima trimite napoi un
ecou al irului primit i bucla create consum rapid banda dintre victim i
sistemul intermediar. Implementri ale acestui tip de atac se gsesc n
urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K.

E. E-mail bombing
E-mail bombing nseamn trimiterea unui numr mare de mesaje
electronice ctre un server cu scopul de a epuiza spaiul de pe disc i limea
de band. Cu excepia atacului UDP, restul se pot evita prin msuri luate la
nivelul sistemului de operare. Atacul UDP este dificil de contracarat ntruct
exist o multitudine de aplicaii care ascult la o multitudine de porturi.
Filtrarea cu ajutorul firewall-urilor ar avea un impact puternic asupra
funcionalitii iar acest pre nu l vor plti foarte muli utilizatori.