zombie computer

Con il termine computer zombie non si intende una macchina morta e poi risorta, ma un dispositivo perfettamente funzionante, con la particolarità di essere stato compromesso da un attaccante.

Un computer zombie è accessibile da remoto senza che il proprietario legittimo ne sia a conoscenza: l’hacker, insomma, ne può disporre a proprio piacimento e al contempo rimanere pressoché invisibile.

Ma come fa un computer a diventare uno zombie?

E cosa comporta la sua “zombificazione?
In questo articolo tenteremo di dare una risposta a questi interrogativi.

Computer Zombie e la Botnet

Per comprendere appieno il significato di computer zombie è opportuno introdurre un concetto preliminare: quello di Botnet.

Originariamente il termine faceva riferimento a una rete di elaboratori gestiti per mantenere attivi servizi web. Ad oggi il termine ha però assunto una connotazione negativa, collegata al mondo cracker e al dark web. Una botnet, dunque, è una rete di computer controllati da una singola sorgente che esegue programmi e script al fine di commettere cybercrimini.

Il termine deriva dalla composizione delle parole “robot” e “network”: pertanto i nodi della rete saranno quei (ro)bot ormai assoggettati al volere dell’cracker, i computer zombie appunto.

Per quanto riguarda il termine “bot” vi è da sottolineare che esso può far riferimento a un tempo:

  • al computer zombie

  • al programma utilizzato per infettarlo

Il bot agisce in maniera del tutto automatica alla ricerca di IP vulnerabili: esso esegue un port scanning per sondare quale porta d’accesso ai device risulta facilmente penetrabile. I cracker, com’è noto, approfittano di falle nei sistemi operativi, così da riuscire a penetrare nella macchina attraverso un exploit.

La botnet tutt’ora considerata una delle tecniche di cyber crimine più subdole e difficili da estirpare: sia perché l’infezione del PC può rimanere silente anche per molto tempo prima che l’hacker decida di mettere in atto la sua strategia, sia perché questi è in grado di celarsi dietro la sua stessa rete di zombie, rendendo quasi impossibile l’identificazione del suo IP.

La forza di questa rete fraudolenta sta anche nella sua portata: per ogni botnet si parla di un ordine di grandezza di centinaia di migliaia, se non milioni di computer infetti.

Un aspetto da sottolineare, però, è la mancata intenzionalità dell’inglobamento nella rete: questa semplicemente risponde a logiche di procedimento casuale al solo fine di ritracciare vulnerabilità e approfittarne in maniera opportunistica.

Struttura di una Botnet

A livello strutturale una botnet si compone di quattro elementi fondamentali:

  1. il BotMaster
  2. il Centro di Comando e Controllo (C&C)
  3. il canale di comunicazione
  4. i bot infetti

BotMaster

(anche detto Bot Herder) è il cracker, o il gruppo di cracker, a capo della rete, la cui azione si esplica in:

  • progettazione del malware che andrà a infettare i computer
  • correzione degli errori
  • lancio degli attacchi veri e propri sui computer ormai compromessi
  • ricambio quotidiano e reiterato del suo indirizzo IP per evitare la geolocalizzazione e l’intercettazione da parte di altri cracker che potrebbero intrufolarsi nella rete

Centro di Comando e Controllo

come dice la definizione stessa, è il fulcro nevralgico della rete, esso è preposto a diversi compiti, tra i quali:

  • impartire i comandi ai diversi bot della rete
  • schermare il BotMaster, così da renderlo irrintracciabile all’interno della botnet stessa

La tipologia di C&C si può distinguere seguendo due criteri:

  • l’uno si basa sul mezzo fisico attraverso cui esso comunica con i computer
  • l’altro sulle modalità di trasferimento degli ordini dal BotMaster ai bot

Secondo quest’ultimo criterio, se ne possono individuare due categorie di controllo:

  • centralizzato
  • distribuito

I C&C di tipo centralizzato utilizzano una due  modalità di scambio

  • una di tipo push, la quale prevede che i device infetti rimangano in stand-by finché il BotMaster non li allerta.
  • una di tipo pull in cui sono i bot stessi a contattare ripetutamente il BotMaster per ricevere gli ordini

Protocolli di comunicazione

utilizzati da questo tipo di C&C sono sostanzialmente tre:

L’IRC, il protocollo più vecchio della storia di Internet, è acronimo di Internet Relay Chat e permette lo scambio di messaggi testuali tra utenti appartenenti alla stessa rete. Attraverso questa modalità, i cracker si servono delle chat room per rintracciare i device potenzialmente infettabili e trasformarli in bot. Ciò che più colpisce è che in questo caso il BotMaster può servirsi direttamente della chat per impartire gli ordini ai suoi zombie.

Nel caso dell’http, il BotMaster è agevolato dalla mancanza di crittografia e di protocolli di sicurezza. Si serve di una semplice pagina web a cui i computer zombie possono accedere e ricevere i comandi di controllo.

Per quanto riguarda, invece, la tipologia di controllo distribuita, essa utilizza  l’architettura Peer-to-Peer (P2P).
Essa permette ai device di mettersi in contatto tra loro senza la necessità di un server centrale. Nel caso di una Botnet, ciò implica che i bot, essendo direttamente collegati tra loro, possano comportarsi allo stesso tempo da C&C o da client.

Un ruolo chiave in questo tipo di rete viene svolto dai proxy.

Il proxy è un server che funge da intermediario tra più terminali: essenzialmente svolge il ruolo di snodo tra client e server.

Nel contesto di una botnet, i proxy fungono da intermediari tra il BotMaster e i cosiddetti Worker Bot, che si occupano di rintracciare le chiavi di una rete P2P già esistente alla ricerca dei proxy vulnerabili.

In che modo un computer diventa zombie

Come si accennava in precedenza, il compito di infettare i computer della rete risultati vulnerabili al port scanning è demandato all’exploit.
Si tratta di un insieme di comandi mirati allo sfruttamento delle debolezze del sistema per penetrare in un device e assoggettarlo.

L’insieme di comandi impartiti (ovvero l’exploit) impone alla macchina colpita di scaricare un rootkit, ovvero  un insieme di strumenti atti ad ottenere i permessi di amministrazione del device.

Avvenuta l’installazione, il Computer si connetterà al C&C entrando a far parte a tutti gli effetti della botnet. A questo punto potrà essere utilizzato sia come ponte per ricercare altri dispositivi da aggiungere alla rete che come strumento di attacco vero e proprio.

Nella pratica ciò equivale a sfruttare l’ingenuità e le scarse competenze degli utenti. In generale l’utente infetta il proprio computer:

  • Aprendo un allegato fraudolento;
  • Facendo click su annunci pop-up;
  • O scaricando software illegittimi da siti internet poco affidabili.

Ciò che colpisce è che le botnet più avanzate sono in grado di auto-espandersi senza l’intervento diretto del BotMaster, nonché di modificare il proprio comportamento in funzione del sistema di cybersicurezza presente sul dispositivo, in modo da far passare sottotraccia l’infezione.

Qual è lo scopo della creazione di una botnet

La creazione della botnet è solo il primo passo.
Essa serve da strumento per veicolare l’accesso di tutta una serie di malware: sono questi la vera cyber-arma del BotMaster.

Vediamo quali sono gli attacchi informatici più diffusi all’interno di questa rete fraudolenta.

  • campagne di spam: le botnet sono dalle piattaforme privilegiate per lo spamming di contenuti fraudolenti;
  • attacchi DDoS: questi, sfruttando la quantità esorbitante di macchine coinvolte, hanno essenzialmente lo scopo di saturare le risorse di un particolare server e renderne indisponibili i servizi;
  • hosting illegale: su un computer della rete il BotMaster può caricare contenuti illegali permettendone  la diffusione illecita;
  • furto di informazioni personali: il BotMaster  può tenere sotto controllo il comportamento degli utilizzatori dei propri zombie, dai siti visitati, alle combinazioni di digitazione delle password;
  • frodi adware: Il BotMaster può ricavare introiti simulando falsi click su inserzioni pubblicitarie;
  • affitto di botnet: il BotMaster può affittare la propria botnet, e solamente una parte di essa, a terzi, che possono sfruttarla a loro piacimento per mettere in atto le azioni fraudolente di cui sopra.

Come capire se il tuo device è uno Zombie

I bersagli che le botnet prendono di mira assumono qualsiasi tipo di forma, basta che siano connesse alla rete.

Nel mirino, oltre ai dispositivi più comuni, stanno entrando sempre più i macchinari facenti parte dell’IoT (Internet of Things), data la scarsa attenzione che i produttori spesso prestano all’inserimento di password sicure.

Come per le altre tipologie di malware, i segnali che indicano una compromissione dei propri dispositivi sono chiari e inequivocabili:

  • Rallentamento delle prestazioni
  • Funzionamento anomalo
  • Avvio della ventola anche se il device non è in uso
  • Comparsa di messaggi d’errore

Se si sono riscontrati alcuni tra questi segnali, sarà bene compiere un’indagine più approfondita, che implica il:

  • verificare la presenza di rootkit, tenendo presente che sono programmi che si avviano quando il computer è spento e terminano all’accensione, risultando invisibili;
  • Indagare i processi in esecuzione;
  • Controllare se le voci di registro di sistema sono infette.

Precauzioni affinché il proprio computer non diventi uno zombie

Resta ora da passare in rassegna quali siano le precauzioni da adottare per evitare di venire inglobati in una Botnet a propria insaputa

  • Installare un antivirus
  • Installare uno scanner anti-malware, perché spesso, come ricordato più volte, questo tipo di infezione risulta invisibile ai normali antivirus
  • Impostare l’aggiornamento automatico dei software
  • Non scaricare file da reti P2P o di filesharing
  • Non aprire allegati email da mittenti sconosciuti o sospetti

Tutto ciò al fine di garantire l’integrità dei propri dati online e dei propri device.

Onorato Informatica

Onorato Informatica mette a disposizione della sicurezza aziendale i propri servizi di sicurezza dei dati, network e password management e multi-device security con il supporto 24/7. Onorato Informatica è un’azienda specializzata in cyber security e certificata ISO 9001 e ISO 27001.

L’adeguata protezione informatica riveste un ruolo strategico per l’azienda poiché evita gli ingenti danni in seguito agli attacchi informatici e allo stesso tempo evita il sovraccarico degli IT manager.

Lo scopo dell’azienda è lavorare e produrre in armonia con i sistemi, ecco il vero motivo dietro ad una valida strategia anche contro gli zombie della rete.