mercoledì 6 gennaio 2010

Waledac botnet - qualche dettaglio sulla sua struttura

Honeyblog.org pubblica un post che elenca alcune ricerche pubblicate nel corso del 2009, e nelle quali, oltre che alle procedure utilizzate per analizzare la botnet viene anche brevemente analizzata la struttura stessa di Waledac.

Waledac Botnet, ben nota ormai da tempo, proprio in questi giorni e' tornata ad una attivita' di spamming con links a pagine che distribuiscono il relativo malware.

Ecco una parziale traduzione dei contenuti di un testo in formato pdf in lingua inglese, scaricabile da questo link http://honeyblog.org/junkyard/paper/waledac-ec2nd09.pdf o in alternativa da http://pi1.informatik.uni-mannheim.de/filepool/publications/waledac-paper.pdf

Waledac puo' essere descritta come struttura costituita (almeno) da 4 diversi layers (4 livelli) che vediamo visualizzati nella figura seguente e di cui vedremo qualche particolare partendo dal basso verso l'alto:

Al livello piu basso della gerarchia della botnet abbiamo i cosiddetti Spammer.
Si tratta di quei pc zombies utilizzati per svolgere le campagne di spam collegate alla botnet.
La particolarita' che distingue gli spammer dagli altri bots della botnet e' che non possiedono un indirizzo IP pubblico raggiungibile. Cio' significa che gli spammer sono per esempio dietro ad un router NAT e quindi non raggiungibili direttamente da Internet.
Quindi sebbene gli Spammer generino un traffico notevole a causa del massiccio invio di mails essi non sono facilmente rintracciabili.
Al livello successivo troviamo i Repeaters (ripetitori) che hanno un IP visibile dalla rete (pubblico)
Ogni Repeater svolge diverse funzioni:
Una e' quella di essere il tramite con cui gli Spammer possono colloquiare con gli altri elementi della botnet e per questo, i Repeaters hanno un indirizzo IP pubblico raggiungibile dalla rete (un ripetitore puo' essere considerato come un mediatore tra il layer piu' basso ed il e il terzo (backend) layer della botnet.)
Gli Spammer contattano quindi i ripetitori quando devono acquisire nuovi compiti dal Master Botnet (il ' livello piu' alto di comando della botnet) ma anche per segnalare il successo delle precedenti operazioni.
Un'altra importante funzione del repeater e' quella di fungere come agente Fast-flux, cioe' di essere il collegamento tra le richieste HTTP dei pc da infettare, (che hanno ricevuto la mail di spam) e il dominio Waledac attivo.
Perche' tali richieste giungano al master della Botnet e' necessario un terzo livello chiamato server backend.
Il server Backend controlla sia gli spammer (tramite i repeaters) ma contemporaneamente controlla anche i Repeaters quando questi agiscono come agenti Fast Flux.
Inoltre per garantire una maggiore affidabilita' del sistema botnet tra i repeaters e gli spammer c'e' un continuo aggiornamento degli elenchi di ripetitori attualmente attivi.
Questo assicura che ogni bot in qualsiasi momento, ha almeno un Repeater di riferimento per linkare la botnet.
Per aumentare ancora l'affidabilita' della botnet abbiamo anche uno scambio di liste tra repeaters a server backend con un elenco strutturato in modo che nessun utente 'malintenzionato' possa inserire un proprio Backend-Server all'interno della Botnet.

Vediamo praticamente come si propaga una 'infezione. Tramite la Botnet Waledac.

I bot Waledac non possiedono un meccanismo proprio di propagazione della botnet.
Cio' significa che, ad esempio, un host infetto non esegue la scansione della sua rete locale alla ricerca di altri sistemi vulnerabili
Waledac si propaga invece attraverso l'utilizzo di pratiche di ingegneria sociale e precisamente un invio di mails di spam come abbiamo visto in questi ultimi anni, prima con Storm Worm e poi appunto con Waledac.
Si tratta quasi sempre di mails di spam sotto forma di auguri, notizie importanti, ricorrenze ..(San Valentino, Halloween, ecc..) con un link ad un eseguibile malware Waledac.

In maniera schematica una infezione si propaga con i seguenti passaggi....

Lo zombie spammer, attivato dalla catena di comandi che passa per repeater e backend-server inizia l' invio di spam.

Un utente di computer non infetto, che riceve la mail di spam, se segue il link presente , che accede al repeater e di conseguenza al Backend server , e scarica il file eseguendolo, vedra' il prorpio Pc traformarsi,a seconda della raggiungibilita' o meno della macchina infettata attraverso la rete, in uno zombie Waledac di tipo Repeaters (pc visibile in rete) o spammer ( pc con IP non visibile dalla rete).

Da ricerche effettuate,con lo scopo di calcolare il numero totale di pc facenti parte della botnet , si e' giunti a stimare un valore intorno ai 400.000 bots mentre interessante e' la distribuzione dei computers che funzionano da repeaters rispetto a quelli spammers.
Si e' ad esempio visto che mentre le macchine spammer sono piu diffuse in USA e UK i pc che vengono usati dalla botnet come repeaters sono in numero maggiore in USA e India.

Per quanto si riferisce invece al S.O. utilizzato dai computers facenti parte di Waledac botnet, XP e' di gran lunga il piu' diffuso

Anche notevole e' il numero in via teorica di possibili mails di spam inviate da tutta la botnet che potrebbero raggiungere valori intorno al miliardo e mezzo di messaggi nelle 24 ore.(nel testo si scrive di una possibilita' che teoricamente raggiungerebbe e supererebbe i 3 miliardi di mails inviate nelle 24 ore)

Come si vede una struttura complessa, considerando anche la parte relativa al sistema Fast-flux che deve gestire gli indirizzi dei pc zombies della botnet.

Edgar

Nessun commento: