Näin toimii netin botnet-hyökkäysverkko
0
Tuore tutkimus antaa lisää valoa siihen, miten netin botnet-hyökkäysverkot toimivat. Rikollisen toiminnan ytimessä on se, että hyökkäysverkon käyttämiä netin domain-nimiä ja uhrikoneita vaihdellaan koko ajan. Yksittäinen uhri tai nettiosoite ei kauan ehdi vanheta.
Botnetien toimintaa ovat tutkineet Arbor Networks -yhtiön ja Mannheimin yliopiston kaksi asiantuntijaa. He selvittivät (raportti) erityisesti sitä, miten rikolliset piilottelevat hyökkäysverkon koneiden ja lukuisien osoitteiden takana.
Botnet-hyökkäysverkko rakennetaan pahaa aavistamattomien internet-käyttäjien tietokoneista. Kun koneille saadaan ujutettua sopiva botnet-haittaohjelma, tulee koneesta hyökkäysverkon osa ja rikollisten työkalu. Koneen omistaja ei välttämättä huomaa mitään.
Fast-flux-tekniikalla osoitteet kiertoon
Uhrikoneita voidaan käyttää moniin rikollisiin tarkoituksiin, esimerkiksi roskapostin lähettämiseen tai hyökkäysten tekemiseen. Yksi käyttöalue on kuitenkin nettisivujen tarjoaminen nettiin päin, esimerkiksi phishing-hyökkäyksiä varten.
Tätä varten rikolliset käyttävät niin sanottua fast-flux dns -tekniikkaa. Siinä rikolliset vaihtelevat nettiosoitteen kohdetta jatkuvasti hyökkäysverkon eri koneiden välillä. Nettisivu tulee aina eri koneelta, ja rikolliset piiloutuvat taka-alalle.
Myös nettiosoitteita käytetään suuria määriä. Tutkijoiden mukaan keskimääräinen nettiosoitteen elinikä on kolmisen viikkoa. Suuri osa osoitteista on olemassa alle viikon.
Tutkijoiden mukaan rikolliset ilmeisesti varaavat itselleen suuria määriä nettiosoitteita, pitävät niitä tallessa ja lopuksi käyttävät hetken aikaa. Osoitetta siirrellään koneelta toiselle, kunnes osoite huomataan rikolliseksi ja se poistetaan käytöstä.
