venerdì 4 settembre 2009

BOTNETS

Malwarehelp.org ha pubblicato ieri un interessante articolo dal titolo “Is your PC part of a Zombie Botnet? Check now!" che oltre ad illustrare le principali caratteristiche di una Botnet, propone anche alcuni semplici consigli su come evitare di finire vittime di questo genere di minacce sempre piu' frequenti in rete ed elenca alcuni dei possibili 'sintomi' collegati alla presenza di una Botnet sul proprio PC.
L'articolo completo ed in lingua inglese lo potete trovare qui

Si tratta di informazioni sicuramente conosciute da chi segue il blog ma mi sembra comunque utile scriverne per chi si avvicinasse per la prima vota a questo genere di problemi presenti su Internet.

Questo un breve riassunto (non una traduzione letterale) in lingua italiana di quanto pubblicato da Malwarehelp.org

Bots, Botnets and Botmaster
Un BOT (detto anche computer zombie) e' quel computer il cui controllo e' stato preso da una persona diversa (Botmaster) dal suo utilizzatore, infettando la macchina con un codice maligno progettato per lo scopo.
Una rete virtuale di tali macchine compromesse, che sono controllate da una o piu' fonti esterne, prende il nome di Botnet.
Le Botnet possono essere costituite da poche centinaia sino a diverse migliaia di macchine compromesse. La persona che controlla a distanza la botnet e' chiamato Botmaster.

La maggior parte degli esperti di sicurezza ritengono oggi, le Botnet come la minaccia numero uno per la sicurezza su Internet.

E' diventato ormai molto facile reclutare Botmaster per attuare sofisticati attacchi in rete considerato anche che per loro stessa struttura le reti botnet mutano facilmente e sono sempre molto difficili da individuare.

Come viene creata una Botnet ?
La creazione di botnet comincia con il download da parte di un ignaro utente Internet che attraverso un clic su un allegato e-mail infetto, un download di file infetto, un software infetto scaricato da reti peer-to-peer (P2P) o da siti Web dannosi, carica sul PC un software chiamato "bot" (per esempio, IRCBot, SGBot, o Agobot) insieme ad un embedded exploit.

Una volta che il software bot e' installato, viene contattato un server di controllo utilizzato dal Botmaster.
Una tecnica comune e' quella di trasmettere le istruzioni tramite Internet Relay Chat (IRC), ma il server puo' anche dare istruzioni tramite Secure HTTP (HTTPS), Simple Mail Transfer Protocol (SMTP), Transmission Control Protocol (TCP) e User Datagram Protocol (UDP ). L'invio dei dati passa attraverso macchine (e proxy) che non sono di proprieta' dei Botmaster per eludere meglio eventuali tentativi di ricerca.

Utilizzando il controllo di cui dispone, il Botmaster puo' periodicamente inviare nuovi codici exploit per i bot. Puo' anche modificare il codice bot stesso, al fine di eludere la firma base di rilevazione o per accogliere i nuovi comandi e vettori di attacco.

Inizialmente, pero', lo scopo primario del Botmaster e' quello di reclutare macchine aggiuntive nella botnet. E per questo ogni macchina zombie e' incaricati di eseguire la scansione di altri host vulnerabili.
Ogni nuova macchina infetta si unisce alla botnet. In breve tempo, le dimensioni di una botnet possono crescere con velocita' molto grande, sino ad arrivare a volte a milioni di PC sparsi in tutto il mondo.

Armato di questo esercito di zombie, il Botmaster e' ora pronto a lanciare il primo attacco di rilievo.
Praticamente chiunque abbia un computer in rete e' un obiettivo di attacco: una piccola azienda, un utente casalingo, un ufficio aziendale o un terminale di un punto di vendita al dettaglio.........
Individuare il Botmaster e' un compito estremamente difficile. Il Botmaster tipicamente invia i comandi di controllo attraverso vari sistemi compromessi su reti diverse. Connessioni proxy, cosi' come i codici di controllo, vengono cambiati spesso rendendo quasi impossibile rintracciare il Botmaster. (tratto da : Botnets: The New Threat Landscape White Paper)

I computer bot sono usati spesso in internet per varie attivita' criminali basate anche DDOS (Distributed Denial of Service) e la distribuzione di malware e spam.

Attivita' della Botnet
I possibili utilizzi di una botnet sono di natura criminale e limitati solo l'immaginazione del Botmaster. Alcune delle attivita' comuni commessi sono:

* Infezione e aggiunta di altri sistemi per le botnet
* Distributed Denial-of-Service Attacks

* Spam

* Key logging

* Diffusione di nuovi malware

* Installazione di Adware
* Clickfraud

* Phishing

* Distribuzione Warez e altri downloads illegali


Sintomi di infezione da Malware Botnet
Fondamentalmente il computer parte di una botnet e' infettato con virus che sfruttano le vulnerabilita' del sistema. Questo malware e' improbabile che disattivi l'accesso alla rete perche' il computer bot deve essere collegato a Internet per far sopravvivere la Botnet.
Tuttavia, il malware Botnet in esecuzione potrebbe causare rallentamenti, crash o visualizzare imprevisti messaggi di errore sul computer colpito. I sintomi sono per lo piu' simili ad altre infezioni da malware.

Connessioni del pc alla botnet potrebbero congestionare il traffico di rete, la connessione a Internet potrebbe diventare lenta, si potrebbe rilevare anche una attivita' di rete anomala quando non si utilizza Internet.(Malware botnet che invia e riceve dati)

L'articolo continua poi con alcuni consigli quali :

Controllare le cartelle email "Posta in uscita" e "Posta inviata" per la presenza di messaggi sconosciuti

Interrogare un database anti-spam e vedere se il vostro indirizzo IP e' elencato. Se e' elencato come fonte di spam o altre forme di abuso in blacklist, potrebbe essere un'indicazione di una infezione da botnet. Robtex fornisce un servizio gratuito per controllare un indirizzo IP in blacklist multiple. ........... (spam blacklist)

Sostituire le xxx con L'IP nella seguente URL per verificare la presenza dell' IP sulla blacklist.

http://www.robtex.com/ip/xxx.xxx.xxx.xxx.html blacklist #


Nel seguito dell'articolo vengono proposti due software free

Bothunter e TrendMicro RUBotted sono due strumenti gratuiti per scoprire una attivita nascosta di botnet in real-time sul sistema.


Come rimuovere una infezione botnet
Un antivirus efficace ed un programma antispyware aggiornati dovrebbero essere in grado di eseguire la scansione e la pulizia del sistema degli agenti bot. (seguono alcuni nomi di software free antivrus e di scanners online)

L'articolo conclude con alcuni consigli pratici su come 'evitare' di diventare parte di una Botnet.

E evidente che questi consigli sono validi per tutti i tipi di possibili infezioni e non solo per quella relativa a malware Botnet.

Come prevenire le infezioni botnet:
Software sicuri e pratiche di sicurezza intelligenti sono le chiavi per proteggere il sistema dal diventare un computer zombie

Antivirus e software antispyware: -Eseguire sempre il software antivirus e antispyware e tenerlo regolarmente aggiornato.

Windows Update: Abilitare gli aggiornamenti automatici per mantenere il sistema operativo sempre aggiornato (patch) contro le vulnerabilita' conosciute.

Patch delle Applicazioni software installate sul PC: In aggiunta al sistema operativo, e' essenziale mantenere il software installato nel vostro sistema con le eventuali patch contro le vulnerabilita' conosciute. Le patch di protezione di solito sono gratuite e possono essere scaricate da fornitori di software.
Secunia Personal Software Inspector (PSI), un software free che informa sulle patch mancanti per migliaia di programmi di terze parti.

Utilizzare un personal firewall: Con l'uso di un Firewall, quando configurato correttamente, e' possibile proteggere il computer da accessi non autorizzati.

Seguire alcune buone norme di sicurezza -

1. Scollegare il computer da Internet, quando non lo si utilizza.
2. Prestare attenzione quando si aprono gli allegati o seguendo i link contenuti in email e sui siti web.
3. Ricercare in rete informazioni prima di scaricare un software nuovo e sconosciuto, soprattutto se si tratta di un software di sicurezza.(falsi Av ecc...)
4. Non rivelare le password per telefono o via e-mail.

Edgar

Nessun commento: