Computerworld News Service: Botnets er komplicerede netværk af hackede computere, der bruges af kriminelle til at sende spam, stjæle persondata eller udføre denial-of-service-angreb.
Læs også: DK-CERT: Sådan får vi bugt med botnet.
Deres underliggende kodestrukturer benytter almene metoder til at undgå at blive opdaget.
Mange af dem anvender endda kommerciel kode, som eksempelvis digital kopibeskyttelse og beskyttelse mod reverse engineering.
"Folk forstår ofte ikke, hvordan deres computere er blevet inficerede, da de har hele tiden har haft antivirusprogrammer. Det kommer fuldstændigt bag på dem," siger Gunter Ollmann, som er vice president for efterforskning ved sikkerhedsfirmaet Dambella, der specialiserer sig i opdagelse af botnet.
Avanceret undvigelse
Problemet er, at botnet-kode, der er designet til at inficere computere, typisk gør brug af undvigelsesteknikker såsom "noise insertion" og "chaffing," der begge genererer enorme mængder overskydende strenge af kode, som ikke gør andet end at gøre det sværere for antivirus eller andre opdagelsesmetoder at finde malwaren.
Det "afholder et strenge-inspektions-system fra at opdage dem," forklarer Ollmann, som har 20 års erfaring med analyse af malware blandt andet fra en stilling som ledende sikkerhedsanalytiker hos IBM.
Botnet-kode gemmer sig ofte ved hjælp af "crypters," som er specialiserede værktøjer med navne som "God of War Crypter."
De gemmer malwaren med kryptering.
Dette er alt sammen blot komponenter, der kan bruges i botnet.
Og i løbet af det sidste års tid er der i produktionen af botnets blevet brugt såkaldte "protectors," som forhindrer andre i at bruge fejlfindings- og analyseteknikker til at reverse engineer botnet-koden, siger Gunter Ollmann.
Her er de populære 'protectorer'
Themida er en sådan protector, der er populær blandt de cyberkriminelle.
Den er et kommercielt værktøj fra Oreans Technologies, som hovedsagligt bruges i spilbranchen til at forhindre reverse engineering.
"De fleste hackersites indeholder pdf-vejledninger i, hvordan kan bruger sådan et værktøj. Bagmændene bag botnettene har opbygget nærmest et professionelt samlebånd af systemer," siger Gunter Ollmann.
Tilbydes som samlesæt
Nogle gange tilbydes gør-det-selv-malware-samlesæt gratis som kildekode, selvom der skal betales for samlesæt med komplette sæt af funktioner.
"Ved at tilbyde den gratis version af kildekoden fremviser de deres nyeste tilgange og får etableret sig et navn. Disse fora er meget interessante at følge med i. Det er ligesom at se børne-tv, hvor konkurrenter piratkopierer hinandens værktøjer, det er meget rodet," siger Gunter Ollmann.
Det er et kodeudviklings-miljø, der går meget hurtigt, og hvis en botnet-kode har været tilgængelig i mere end omkring tre måneder, "så kan man sandsynligvis finde den gratis, da den vil være blevet piratkopieret," fortæller han.
De landespecifikke sites har international spændvidde, de fleste bruger engelsk som fællessprog, men der er også nogle på russisk.
Et af de mere bekymrende aspekter ved alt dette handler ifølge Ollmann om websites i Holland og Belgien, der handler med malware-kode.
Her er det tydeligt, at et antal af de deltagende ikke er professionelle cyberkriminelle, men tilsyneladende blot er unge mennesker på afveje, der "synes, at hacking er sejt," og som prøver at få anseelse ved at vise, at de kan udvikle malware og angrebs-værktøjer.
I de fleste lande er det ikke ulovligt at udvikle og udbrede malware-værktøjer på nær måske i Frankrig, som er kendt for at have nogle af de strengeste love på området, påpeger Gunter Ollmann.
Men når det handler om at udnytte disse værktøjer til at skabe botnets, så ser det ud til, at de professionelle kriminelle, der angriber virksomheder med botnets, "ikke nødvendigvis er mere avancerede" end alle mulige andre, og "det er tydeligt, at de ikke har udviklet værktøjerne selv," hævder Ollmann.
Deres særlige talent består i, at "de er meget velorganiserede i forhold til at gemme sig og til at komme omkring."
Oversat af Thomas Bøndergaard
Læs også:
