Con il termine computer zombie non si intende una macchina morta e poi risorta, ma un dispositivo perfettamente funzionante, con la particolarità di essere stato compromesso da un attaccante.
Un computer zombie è accessibile da remoto senza che il proprietario legittimo ne sia a conoscenza: l’hacker, insomma, ne può disporre a proprio piacimento e al contempo rimanere pressoché invisibile.
Ma come fa un computer a diventare uno zombie?
E cosa comporta la sua “zombificazione?
In questo articolo tenteremo di dare una risposta a questi interrogativi.
Computer Zombie e la Botnet
Per comprendere appieno il significato di computer zombie è opportuno introdurre un concetto preliminare: quello di Botnet.
Originariamente il termine faceva riferimento a una rete di elaboratori gestiti per mantenere attivi servizi web. Ad oggi il termine ha però assunto una connotazione negativa, collegata al mondo cracker e al dark web. Una botnet, dunque, è una rete di computer controllati da una singola sorgente che esegue programmi e script al fine di commettere cybercrimini.
Il termine deriva dalla composizione delle parole “robot” e “network”: pertanto i nodi della rete saranno quei (ro)bot ormai assoggettati al volere dell’cracker, i computer zombie appunto.
Per quanto riguarda il termine “bot” vi è da sottolineare che esso può far riferimento a un tempo:
-
al computer zombie
-
al programma utilizzato per infettarlo
Il bot agisce in maniera del tutto automatica alla ricerca di IP vulnerabili: esso esegue un port scanning per sondare quale porta d’accesso ai device risulta facilmente penetrabile. I cracker, com’è noto, approfittano di falle nei sistemi operativi, così da riuscire a penetrare nella macchina attraverso un exploit.
La botnet tutt’ora considerata una delle tecniche di cyber crimine più subdole e difficili da estirpare: sia perché l’infezione del PC può rimanere silente anche per molto tempo prima che l’hacker decida di mettere in atto la sua strategia, sia perché questi è in grado di celarsi dietro la sua stessa rete di zombie, rendendo quasi impossibile l’identificazione del suo IP.
La forza di questa rete fraudolenta sta anche nella sua portata: per ogni botnet si parla di un ordine di grandezza di centinaia di migliaia, se non milioni di computer infetti.
Un aspetto da sottolineare, però, è la mancata intenzionalità dell’inglobamento nella rete: questa semplicemente risponde a logiche di procedimento casuale al solo fine di ritracciare vulnerabilità e approfittarne in maniera opportunistica.
Struttura di una Botnet
A livello strutturale una botnet si compone di quattro elementi fondamentali:
- il BotMaster
- il Centro di Comando e Controllo (C&C)
- il canale di comunicazione
- i bot infetti
BotMaster
(anche detto Bot Herder) è il cracker, o il gruppo di cracker, a capo della rete, la cui azione si esplica in:
- progettazione del malware che andrà a infettare i computer
- correzione degli errori
- lancio degli attacchi veri e propri sui computer ormai compromessi
- ricambio quotidiano e reiterato del suo indirizzo IP per evitare la geolocalizzazione e l’intercettazione da parte di altri cracker che potrebbero intrufolarsi nella rete
Centro di Comando e Controllo
come dice la definizione stessa, è il fulcro nevralgico della rete, esso è preposto a diversi compiti, tra i quali:
- impartire i comandi ai diversi bot della rete
- schermare il BotMaster, così da renderlo irrintracciabile all’interno della botnet stessa
La tipologia di C&C si può distinguere seguendo due criteri:
- l’uno si basa sul mezzo fisico attraverso cui esso comunica con i computer
- l’altro sulle modalità di trasferimento degli ordini dal BotMaster ai bot
Secondo quest’ultimo criterio, se ne possono individuare due categorie di controllo:
- centralizzato
- distribuito
I C&C di tipo centralizzato utilizzano una due modalità di scambio
- una di tipo push, la quale prevede che i device infetti rimangano in stand-by finché il BotMaster non li allerta.
- una di tipo pull in cui sono i bot stessi a contattare ripetutamente il BotMaster per ricevere gli ordini
Protocolli di comunicazione
utilizzati da questo tipo di C&C sono sostanzialmente tre:
- IRC
- http
- P2P
L’IRC, il protocollo più vecchio della storia di Internet, è acronimo di Internet Relay Chat e permette lo scambio di messaggi testuali tra utenti appartenenti alla stessa rete. Attraverso questa modalità, i cracker si servono delle chat room per rintracciare i device potenzialmente infettabili e trasformarli in bot. Ciò che più colpisce è che in questo caso il BotMaster può servirsi direttamente della chat per impartire gli ordini ai suoi zombie.
Nel caso dell’http, il BotMaster è agevolato dalla mancanza di crittografia e di protocolli di sicurezza. Si serve di una semplice pagina web a cui i computer zombie possono accedere e ricevere i comandi di controllo.
Per quanto riguarda, invece, la tipologia di controllo distribuita, essa utilizza l’architettura Peer-to-Peer (P2P).
Essa permette ai device di mettersi in contatto tra loro senza la necessità di un server centrale. Nel caso di una Botnet, ciò implica che i bot, essendo direttamente collegati tra loro, possano comportarsi allo stesso tempo da C&C o da client.
Un ruolo chiave in questo tipo di rete viene svolto dai proxy.
Il proxy è un server che funge da intermediario tra più terminali: essenzialmente svolge il ruolo di snodo tra client e server.
Nel contesto di una botnet, i proxy fungono da intermediari tra il BotMaster e i cosiddetti Worker Bot, che si occupano di rintracciare le chiavi di una rete P2P già esistente alla ricerca dei proxy vulnerabili.
In che modo un computer diventa zombie
Come si accennava in precedenza, il compito di infettare i computer della rete risultati vulnerabili al port scanning è demandato all’exploit.
Si tratta di un insieme di comandi mirati allo sfruttamento delle debolezze del sistema per penetrare in un device e assoggettarlo.
L’insieme di comandi impartiti (ovvero l’exploit) impone alla macchina colpita di scaricare un rootkit, ovvero un insieme di strumenti atti ad ottenere i permessi di amministrazione del device.
Avvenuta l’installazione, il Computer si connetterà al C&C entrando a far parte a tutti gli effetti della botnet. A questo punto potrà essere utilizzato sia come ponte per ricercare altri dispositivi da aggiungere alla rete che come strumento di attacco vero e proprio.
Nella pratica ciò equivale a sfruttare l’ingenuità e le scarse competenze degli utenti. In generale l’utente infetta il proprio computer:
- Aprendo un allegato fraudolento;
- Facendo click su annunci pop-up;
- O scaricando software illegittimi da siti internet poco affidabili.
Ciò che colpisce è che le botnet più avanzate sono in grado di auto-espandersi senza l’intervento diretto del BotMaster, nonché di modificare il proprio comportamento in funzione del sistema di cybersicurezza presente sul dispositivo, in modo da far passare sottotraccia l’infezione.
Qual è lo scopo della creazione di una botnet
La creazione della botnet è solo il primo passo.
Essa serve da strumento per veicolare l’accesso di tutta una serie di malware: sono questi la vera cyber-arma del BotMaster.
Vediamo quali sono gli attacchi informatici più diffusi all’interno di questa rete fraudolenta.
- campagne di spam: le botnet sono dalle piattaforme privilegiate per lo spamming di contenuti fraudolenti;
- attacchi DDoS: questi, sfruttando la quantità esorbitante di macchine coinvolte, hanno essenzialmente lo scopo di saturare le risorse di un particolare server e renderne indisponibili i servizi;
- hosting illegale: su un computer della rete il BotMaster può caricare contenuti illegali permettendone la diffusione illecita;
- furto di informazioni personali: il BotMaster può tenere sotto controllo il comportamento degli utilizzatori dei propri zombie, dai siti visitati, alle combinazioni di digitazione delle password;
- frodi adware: Il BotMaster può ricavare introiti simulando falsi click su inserzioni pubblicitarie;
- affitto di botnet: il BotMaster può affittare la propria botnet, e solamente una parte di essa, a terzi, che possono sfruttarla a loro piacimento per mettere in atto le azioni fraudolente di cui sopra.
Come capire se il tuo device è uno Zombie
I bersagli che le botnet prendono di mira assumono qualsiasi tipo di forma, basta che siano connesse alla rete.
Nel mirino, oltre ai dispositivi più comuni, stanno entrando sempre più i macchinari facenti parte dell’IoT (Internet of Things), data la scarsa attenzione che i produttori spesso prestano all’inserimento di password sicure.
Come per le altre tipologie di malware, i segnali che indicano una compromissione dei propri dispositivi sono chiari e inequivocabili:
- Rallentamento delle prestazioni
- Funzionamento anomalo
- Avvio della ventola anche se il device non è in uso
- Comparsa di messaggi d’errore
Se si sono riscontrati alcuni tra questi segnali, sarà bene compiere un’indagine più approfondita, che implica il:
- verificare la presenza di rootkit, tenendo presente che sono programmi che si avviano quando il computer è spento e terminano all’accensione, risultando invisibili;
- Indagare i processi in esecuzione;
- Controllare se le voci di registro di sistema sono infette.
Precauzioni affinché il proprio computer non diventi uno zombie
Resta ora da passare in rassegna quali siano le precauzioni da adottare per evitare di venire inglobati in una Botnet a propria insaputa
- Installare un antivirus
- Installare uno scanner anti-malware, perché spesso, come ricordato più volte, questo tipo di infezione risulta invisibile ai normali antivirus
- Impostare l’aggiornamento automatico dei software
- Non scaricare file da reti P2P o di filesharing
- Non aprire allegati email da mittenti sconosciuti o sospetti
Tutto ciò al fine di garantire l’integrità dei propri dati online e dei propri device.
Onorato Informatica
Onorato Informatica mette a disposizione della sicurezza aziendale i propri servizi di sicurezza dei dati, network e password management e multi-device security con il supporto 24/7. Onorato Informatica è un’azienda specializzata in cyber security e certificata ISO 9001 e ISO 27001.
L’adeguata protezione informatica riveste un ruolo strategico per l’azienda poiché evita gli ingenti danni in seguito agli attacchi informatici e allo stesso tempo evita il sovraccarico degli IT manager.
Lo scopo dell’azienda è lavorare e produrre in armonia con i sistemi, ecco il vero motivo dietro ad una valida strategia anche contro gli zombie della rete.
- Autore articolo
- Ultimi articoli
Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.
