Sponsrat – Denna artikel presenteras av ESET
Cyberbrottslingar bakom lås och bom: polis och skadeprogramsexperter slår sina kloka huvuden ihop i jakten på nutidens digitala brottslingar.

Det främsta syftet med att analysera skadliga program är att tydliggöra hur ett visst skadeprogram fungerar, hitta angreppsindikatorer och definiera potentiella motåtgärder. Till sin natur är detta arbete nästan enbart tekniskt; det fokuserar på binära filer och deras egenskaper. Resultaten från en skadeprogramsanalys är viktiga för att företag och organisationer ska kunna försvara sig mot angrepp eller stoppa en pågående infiltration. De är också viktiga för alla som säljer säkerhetsprogram eftersom de hjälper dem att skapa bättre detektions- och skyddsmekanismer för sina kunder.

Ibland behöver dock andra typer av frågor besvaras. Är den här filen relaterad till den där filen? Hur är C&C-infrastrukturen (styrning och kontroll) utformad och hur fungerar kommunikationsprotokollet? Hur tjänar botnätet pengar på sin verksamhet: pay-per-install, skräppost eller omdirigering av trafik?

Att besvara frågor som dessa är vad forskning om skadliga program handlar om. Det ger bättre kunskap om den övergripande bilden, bakom ett enskilt skadeprogram, och gör det möjligt att knyta ihop trådarna och förstå vad som pågår.

Det hjälper naturligtvis även dem som utvecklar säkerhetsprogram, så kallade AV-företag, att skapa bättre skydd. Information från skadeprogramsforskning kan även hjälpa polis och rättsväsende att bekämpa cyberbrott. Hur? Det ska jag förklara med hjälp av några exempel på ESET:s arbete som har bidragit till att stoppa fientliga angrepp.

Störningsaktion mot Dorkbot

2015 bjöds ESET in att delta i Microsofts kampanj för samordnad eliminering av skadliga program (CME) som riktade sig mot skadlig kod av typen Win32/Dorkbot. Dorkbot var ett kit som såldes på hemliga forum och som infekterade över en miljon datorer genom flera oberoende botnät. Målet med den här CME-kampanjen var att genom massiva aktioner upplösa så många av dessa botnät som möjligt genom att tillintetgöra flera näts C&C-infrastruktur samtidigt.

Till stöd för denna operation automatiserade ESET:s experter processen för extrahering av C&C-information från Dorkbots binärkod. Vi tillämpade processen på vårt flöde av såväl befintliga som nya Dorkbot-program. Sedan rensade vi resultaten manuellt genom att ta bort kända slukhål och rena domäner/IP-adresser för att minska risken för att legitima resurser skulle slås ut. Microsoft slog sedan ihop informationen med sina egna data och skapade en komplett lista över alla aktiva C&C-noder man skulle rikta in sig på. Denna lista vidarebefordrades sedan till polismyndigheter och rättsinstanser världen över, bl.a. den kanadensiska kommissionen för radio- och tv-kommunikation (CRTC), det amerikanska inrikessäkerhetsdepartementets Computer Emergency Readiness Team (DHS/USCERT), Europol, FBI, Interpol och Kanadas federala polis (RCMP). På aktionsdagen utfärdades häktnings- och avstängningsorder i en samordnad manöver.

Efter det har vi sett en tydlig nedgång i Dorkbot-aktiviteten världen över, vilket tyder på att CME-kampanjen var framgångsrik.

Windigo och Ebury-botnätet

2014 publicerade ESET sin första grundliga tekniska analys av det vi kallade Operation Windigo. I korthet bestod Windigo av en bakdörr som stal användaruppgifter och infekterade tiotusentals Linux-servrar på vilka en eller flera ytterligare skadliga komponenter installerades och användes för att tjäna pengar på botnätet genom att, bland annat, skicka skräppost eller omdirigera HTTP-trafik. Efter publiceringen började vi samarbeta med FBI i deras utredning mot cyberbrottslingarna bakom Operation Windigo.

Vårt bidrag var att dela med oss av teknisk information från vår forskning om skadeprogram, t.ex. infekterade IP-adresser, information från skräppostmeddelanden som har skickats från botnätet och annan relevant och offentligt tillgänglig information, t.ex. om domänregistreringar.

Med hjälp av denna information kunde FBI göra sin del av arbetet, sakta men säkert. I början av 2015 identifierades en rysk medborgare vid namn Maxim Senakh som en av hjärnorna bakom Operation Windigo och formellt åtal väcktes mot honom i USA. Senakh greps senare av finska myndigheter vid den ryska gränsen när han var på väg att återvända till Ryssland från en semesterresa och utlämnades till USA i februari 2016. Senakh erkände sig skyldig till transaktionsbedrägeri i strid mot lagen om datorbedrägeri och olaglig datorverksamhet (Computer fraud and abuse act). Han dömdes till 46 månaders fängelse.

Mer information om denna historia finns i det här blogginlägget: https://www.welivesecurity.com/2017/10/30/esets-research-fbi-windigo-maxim-senakh/

Varför ska vi bry oss?

Att lägga tid och energi på att försvåra cyberbrottslingarnas liv är värt besväret. Vi tror att det är ett av de bästa sätten att förebygga brottslig cyberaktivitet och göra internet till en säkrare plats. Vi anser också att det är rätt och riktigt.

Det finns olika teorier kring klassiskt brottsförebyggande och vi utger oss verkligen inte för att vara kriminologer. Det finns dock en tydlig koppling mellan vad vi gör för att bekämpa cyberbrott och teorin om ”situationell brottsprevention”, som beskrivs så här:

Situationell brottsprevention utgår från antagandet att brott ofta är opportunistiska och syftar till att förändra de kontextuella faktorerna för att på så sätt begränsa förövarnas möjligheter att uppvisa brottsligt beteende.”

De tekniker som används för situationell brottsprevention kan delas in i olika kategorier, av vilka tre har koppling till det vi gör.

  1. Öka ansträngningen som krävs för att genomföra ett brott

Samordnade störningskampanjer liknande den som riktades mot Dorkbot tvingar angriparna att omgruppera och växla till nya strategier och tekniker, t.ex. skapa nya skadeprogram eller byta kommunikationsprotokoll. Därmed måste förövarna anstränga sig betydligt hårdare för att slutföra en pågående brottslig aktion.

2.Minska vinsten för den som begår ett brott

En naturlig följd av punkt 1 är att fientliga aktioner blir dyrare att genomföra och att nettovinsten minskar i samma utsträckning.

3.Öka risken för den som begår brott

Med den tekniska information vi överlämnar till polisens utredare kan de lättare styra sina utredningar i rätt riktning och stärka bevisningen. Fler utredningar om cyberbrottslighet och större samarbete med skadeprogramsexperter resulterar i fler gripanden och fällande domar, vilket i sin tur leder till att cyberbrottslingarna löper större risk att åka fast.

Vissa tror att anledningen till att så få cyberbrottslingar straffas är att det är enkelt att begå brott anonymt på internet och att risken att spåras är liten. I själva verket är det nästan precis tvärtom: att skapa och upprätthålla ett perfekt operativ skydd är ganska svårt. Tänk på allt arbete som måste utföras av den som vill genomföra en fientlig operation: starta infektionsspridning, övervaka botnätets status, uppdatera de skadliga komponenterna, registrera domännamn eller webbhotell, se till att operationen genererar pengar etc. För ett perfekt utfört cyberbrott måste varje steg genomföras helt perfekt, varje gång. Cyberbrottslingar är dock människor och människor gör misstag. Allt som krävs är att angriparen har en dålig dag och ansluter till fel server innan en VPN- eller TOR-anslutning aktiveras. Vips sparas en gigantisk pil, som pekar rakt mot honom eller henne, i en loggfil någonstans där den väntar på att upptäckas.

Med rätt metoder motas cyberbrottslingarna in i ett hörn.

Vissa väljer också att inte försöka spåra cyberbrottslingar eftersom de, när de väl identifieras, ändå inte går att komma åt. De kanske bor i länder som saknar effektiva lagar mot cyberbrott eller inte har utlämningsavtal med de länder som utreder brotten? Än en gång: människor gör misstag. Det kan räcka med att en känd cyberbrottsling lämnar landet för att semestra utomlands.

2017 genomfördes ett stort antal gripanden kopplade till olika cyberbrott, såsom beskrivs i Stephen Cobbs utmärkta sammanfattning. När polisen och rättsväsendet nu har börjat samarbeta med privata aktörer som ESET i syfte att spåra cyberbrottslingar kan vi med viss tillförsikt se fram emot ett 2018 med alltfler framgångsrika utredningar som bidrar till att göra internet till en säkrare plats för alla. Utom för cyberbrottslingarna.

Alexis Dorais-Joncas – Security Intelligence Team Lead 

Detta är den tredje artikeln av fem, som kommer att publiceras här och på vår websida under jan, februari och mars månad.

Artikel 1: Ransomware-revolutionen

Artikel 2: Attacker mot kritisk infrastruktur

Artikel 3: Att gripa cyberbrottslingar

Artikel 4: Demokratihack

Artikel 5: Personlig integritet i den nya tidsåldern (publiceras vecka 11 2018)

Artikel 6: Sammanfattning Trender 2018 (publiceras vecka 12 2018)

Diskutera gärna innehållet i vårt forum med andra
säkerhetsintresserade.

 

Sponsrat – Denna artikel presenteras av ESET
DELA

Leave a Reply

Var först med att kommentera!

avatar
  Subscribe  
Notifiera vid