En MySpace-orm, der i juni måned inficererede næsten 100.000 kontoer og gjorde dem til uvillige zombier i en gruppe hackeres botnet, har afsløret nye metoder fra hackernes side.
Nye typer botnet
Botnettene fungerer nemlig på andre måder end de traditionelle. Normalt vil et botnet bestå af tusindvis af kompromitterede maskiner og en enkelt kommandocomputer, hvorfra nettet bliver styret.
De kommunikerede traditionelt via IRC, internet relay chat, og var derfor rimeligt lette at finde og afskære fra resten af nettet.
Slører ip-adresser
Men de nye botnet bruger konstant skiftende ip-adresser til at sløre deres spor endnu mere. Hvis man fanger en ip-adressse vil den kun lede til en af de kompromitterede pc'er. Og her er ingen spor: Ingen data, ingen log-filer, der kan afsløre bagmanden, eller hvad maskinen er blevet brugt til.
Det betyder, at hvis en MySpace-bruger klikker på en spam-besked eller en falsk MySpace-besked, så kommer de ind på en af hackerens computere. Men derefter bliver de også med det samme sendt videre.
Proxy skjuler hackere
Den forreste computer fungerer udelukkende som en proxy-server, der leder brugeren videre til endnu en kompromitteret computer.
Det hele er selvfølgelig sket uden at brugeren lægger mærke til det. For dem at se, er de stadig på MySpace. Selvom der er tale om en kopi af MySpace, som med andre phishing-angreb.
Problemet er, hvordan man blokerer angrebet, som i øvrigt stadig er i gang, omend i mindre skala. Uden faste ip-adresser er det svært at blokere for trafikken fra botnets. Man kan ikke bare blokere en række ip-adresser, som ellers er den gængse taktik.
Trafik på port 80 kan afsløre botnettet
I stedet kigger sikkerhedseksperter på trafikken gennem port 80. Port 80 er den, der traditionelt bruges til trafik på http-protokollen, eller det almindelige internet, som vi alle kender.
Men hvordan finder man ud af, om man er zombieficeret? Tja, det er problemet. En måde er at scanne trafikken ind i computeren. Hvis den går efter DNS-opslag er der en vis chance for at ens maskine er kompromitteret.
DNS-opslag er nemlig en del af kernen af hacket: En falsk DNS-server sørger for, at forbindelser fra ens egen computer bliver sendt over til en anden ip-adresse end den man tror. Adresserne kan skifte med sekunders mellemrum.
Og de inficerede kontoer? Så vidt vides endnu inficeret.
