Hvad er et botnet og hvordan bruges det?

Kontrol over tusinder eller endda millioner af computere giver cyberkriminelle mulighed for at levere malware eller udføre et DDoS-angreb. 

Botnet definition

Et botnet er en samling internetforbundne og inficerede computere, som en hacker har kompromitteret til at udføre DDoS-angreb og andre slags opgaver. Et botnet er et peer-to-peer netværk bestående af mange computere, nogle gange flere millioner.

Hackere anvender malware til at inficere legitime computere, som kommunikerer tilbage til botnet-operatøren. Dette sker typisk, uden at ejerne af computere ved det. Målet er at øge størrelsen af fjernstyrede computere i botnettet, som tilsammen kan automatisere og fremskynde store angreb.

Botnet arkitektur - et peer-to-peer netværk

Et botnet er et eksempel på et distribueret computersystem, der fungerer over internettet. De hackere eller organiserede grupper af hackere, der driver et botnet, kaldet "controllere" eller "hyrder", skal rekruttere computere til deres net og derefter koordinere deres aktivitet. Der er en række komponenter til arkitekturen, der hjælper botnets med at danne og fastholde sig selv:

• Botnet malware. Hackere tager kontrol over målcomputere via malware. Der er en række forskellige vektorer, hvormed malware kan komme ind på computere, lige fra phishing- og watering hole-angreb til udnyttelse af uoprettede sårbarheder. Denne malware gør det muligt for hackeren at tvinge den kompromitterede maskine til at handle, uden at dens ejer er klar over det. Malwarens mål er altså ikke at stjæle noget eller gøre nogen skade. I stedet forsøger den at forblive skjult, så botnet-softwaren kan fortsætte med at fungere.

• Botnet droner. Når først en enhed er blevet overtaget af hackeren, kaldes den en drone – det er bare endnu en del af botnettet, selvom den har en vis grad af autonomi og i nogle tilfælde kunstig intelligens. En botnet-drone kan rekruttere mange andre computere og enheder med en vis intelligens, hvilket gør det sværere at finde og stoppe dronerne.

Alle slags internetforbindelsesenheder kan omdannes til droner, fra pc'er til mobiltelefoner til IoT-enheder. Faktisk kan den sidstnævnte type enheder, som internet-aktiverede sikkerhedskameraer eller kabelmodemmer, være af særlig interesse for hackere, da folk nogle gange efterlader enhederne upatchede og sårbare.

Ved at inficere 'legitime' folks enheder med malware, får operatøren af et botnet ressourcer ved at bruge IP-adresser til boliger, der ser ud til at være legitime brugere, og får gratis beregningsressourcer, der kan udføre opgaver.

• Botnet kommando og kontrol (C2). Den sidste brik i puslespillet er den mekanisme, hvormed disse bots styres. Tidlige botnets blev generelt styret fra en central server, men det gjorde det relativt nemt at dræbe hele netværket ved at spore den centrale server og afbryde den. Moderne botnets fungerer på en peer-to-peer-model, hvor kommandoer overføres fra drone til drone, når de genkender deres særskilte malware-signaturer over internettet.

Kommunikation fra bot-hyrderne og mellem bots kan bruge en række forskellige protokoller. Internet relay chat (IRC), en gammeldags chatprotokol, er stadig almindeligt brugt, fordi den relativt let kan installeres på bots uden at bruge så mange ressourcer. Men der bruges også en række andre protokoller, blandt andet Telnet og almindelig HTTP, som gør trafikken svær at opdage. Nogle botnets bruger endnu mere kreative koordineringsmidler, med kommandoer udgivet på offentlige websteder som Twitter eller GitHub.

Hvad gør et botnet?

Distribueret denial-of-service angreb eller DDoS-angreb er måske den mest kendte og populære type botnet-angreb. Disse angreb, hvor hundreder eller tusinder af kompromitterede maskiner alle forsøger at få adgang til en server eller anden onlineressource med lovlig webtrafik og slå den ud af drift i processen, kan ikke rigtig ske uden et botnet.

De er også relativt nemme at starte, da næsten enhver enhed, der kan blive inficeret, vil have internetfunktioner og i det mindste en rudimentær webbrowser. Så næsten alle computere kan bruges til et DDoS-angreb.

Men der er et væld af andre ondsindede formål, som hackere kan have med deres botnets - og målet med botnettet bestemmer, hvilke slags enheder botnet-skaberne vil forsøge at inficere. Hvis en hacker vil bruge sit botnet til bitcoin-minedrift, kan de gå efter IP-adresser i en bestemt del af verden, fordi de maskiner er en smule bedre - de har en GPU og en CPU, og folk vil ikke nødvendigvis lægge mærke til påvirkningen, hvis det er minedrift i baggrunden.

Derudover kan botnets bruges tl at stjæle følsomme oplysninger, at downloade yderligere malware, at udføre phishing og mange andre slags cyberangreb.

Eksempler på botnet af inficerede computere

Selvom DDoS-angreb måske får det meste af opmærksomheden i dag, var formålet bag de allerførste distribuerede netværkssystemer at sende spam e-mails. Khan C. Smith byggede en hær af mange bots op for at hjælpe med at drive hans spam-imperium i 2001 og tjente millioner af dollars i processen. Han blev til sidst sagsøgt af internetudbyderen EarthLink for $25 millioner.

Et af de seneste års mest prominente botnets var Mirai, som kortvarigt gjorde en stor del af internettet offline i 2016. Mirai blev skabt af en universitetsstuderende i New Jersey og udsprang af en krig mellem værter af Minecraft-servere, men koden til den type af botnet er stadig i omløb i dag.

Mirai målrettede specifikt internet-tilsluttede lukkede kredsløbs-tv-kameraer for at gøre dem til droner og viste præcis, hvor vigtig en angrebsoverflade IoT-enheder er blevet i dag.

Men der er adskillige andre eksempler på botnets på nettet. Større botnets som TrickBot gør stor brug af malware som Emotet, der er mere afhængig af social engineering til installation. Disse er typisk mere modstandsdygtige, og de bruges til at implementere andre typer malware, såsom trojanske heste og ransomware.

Der har været adskillige forsøg fra retshåndhævende myndigheder på at forstyrre disse store botnets i løbet af de sidste par år med en vis succes. Et stort botnet bruges somme tider til organiseret økonomisk kriminalitet.

Sådan forhindrer eller stopper du et botnet-angreb

Processen med at sikre dig selv mod botnets kan ske på to måder: du forhindrer enten dine egne enheder i at blive bots, eller du bekæmper angreb lanceret af botnets. I begge tilfælde, som dette blogindlæg måske har gjort klart, er der ikke meget, du kan gøre for at forsvare dig selv, som ikke allerede vil være en del af en god sikkerhedspraksis.

Hackere omdanner enheder til bots med malware leveret via phishing-mails, så sørg for, at du og dine ansatte ikke åbner phishing-mails. De hacker sig ind i usikre IoT-enheder, så sørg for at indstille disse enheders adgangskoder til noget andet end standard.

Hvis hackere formår at plante malware på din computer, skal du have opdateret antivirus for at opdage det hurtigt. Hvis du er på modtagersiden af et DDoS-angreb, kan du filtrere den ondsindede trafik fra eller øge din kapacitet med et indholdsleveringsnetværk.

Der er også nogle botnet-specifikke teknikker, du kan implementere for at holde dig sikker. For eksempel kan du se efter mistænkelig trafik, der forlader dit netværk. Statistisk flowanalyse lyder kompleks, men den kan afsløre tilstedeværelsen af botnet-kommando- og kontroltrafik.