Come funzionano le Botnet. Un viaggio tra malware, cyber threat intelligence ed OSINT

Redazione RHC : 7 Marzo 2023 12:00

Internet fornisce un mare di informazioni. Parliamo spesso su RHC di Open Source Intelligence (OSINT) e di Cyber Threat Intelligence (CTI), ovvero quelle discipline di intelligence che si occupano della ricerca, raccolta ed analisi dei dati e di notizie d’interesse pubblico tratte dalle fonti aperte, chiuse o semi chiuse.

L’OSINT (Open Source Intelligence), ad esempio, è una disciplina molto vecchia, la quale venne introdotta durante la seconda guerra mondiale dagli Stati Uniti D’America a seguito del bombardamento a sorpresa, effettuato dall’esercito giapponese alla flotta a Pearl Harbor. Se volete comprendere meglio di cosa si tratta vi rimandiamo ad un nostro video.

Si tratta di una disciplina dell’intelligence che si occupa della ricerca, raccolta e analisi di dati e notizie d’interesse pubblico provenienti da fonti aperte e pubbliche. Questa pratica si basa sull’utilizzo di fonti di informazione pubbliche come notizie, riviste, siti web, social media, forum di discussione, blog e qualsiasi altra fonte di informazione accessibile al pubblico.

Per Cyber Threat Intelligence (CTI) invece si intende un insieme di processi che si occupano di raccogliere, analizzare e interpretare informazioni riguardanti le minacce informatiche (o cyber threat) al fine di identificare e mitigare i rischi per la sicurezza informatica. La CTI si basa sulla raccolta di dati provenienti da varie fonti, come feed di intelligence, report degli analisti, dati di telemetria, forum underground, social media e altri canali di comunicazione online. Questi dati vengono poi analizzati utilizzando tecniche di intelligenza artificiale, machine learning e data mining, al fine di identificare modelli e tendenze nei comportamenti dei criminali informatici.

In questo articolo ci addentreremo nel mondo delle Botnet, per capire meglio come funzionano tecnicamente e il loro stretto legame con la Cyber Threat Intelligence e il mondo dell’OSINT.

Che cos’è una botnet

Una botnet è una rete di computer infettati da un malware, controllata da un individuo che prende il nome di bot master. Il bot master è la persona che gestisce l’infrastruttura botnet, che utilizza i computer compromessi per lanciare una serie di attacchi come iniettare malware, raccogliere credenziali o eseguire attività ad alta intensità di CPU. Ogni singolo dispositivo all’interno della rete botnet è chiamato bot.

La prima generazione di botnet operava su un’architettura client-server, in cui un server di comando e controllo (C&C) gestiva l’intera botnet. A causa della sua semplicità, lo svantaggio dell’utilizzo di un modello centralizzato rispetto a un modello P2P è che è suscettibile di un singolo point of faliure.

I due canali di comunicazione C&C più comuni sono IRC e HTTP:

• botnet IRC (Internet Relay Chat): Le botnet IRC sono tra i primi tipi di botnet e sono controllate da remoto con un server e un canale IRC preconfigurato. I bot si connettono al server IRC e attendono i comandi del bot master;
• botnet HTTP: Una botnet HTTP è una botnet basata sul Web attraverso la quale il bot master utilizza il protocollo HTTP per inviare comandi. I bot visiteranno periodicamente il server per ottenere aggiornamenti e nuovi comandi. L’utilizzo del protocollo HTTP consente di mascherare le proprie attività come un normalissimo traffico web.

Le tipologie di Botnet sono le seguenti:

• Botnet DDoS: i bot infetti possono essere utilizzati per lanciare potenti attacchi DDoS contro un obiettivo specifico. I proprietari di queste botnet possono noleggiare le loro botnet come servizi DDoS;
• Botnet per il rilevamento della rete: i bot possono scansionare Internet e trovare altri computer vulnerabili per infettarli con il malware che a sua volta potrebbero trasformarsi in un bot. Questo tipo di bot spesso cerca obiettivi specifici (come i server) per ottenere il controllo completo. Per controllo completo si intende l’accesso ai dati, alle risorse software e hardware;
• Botnet backdoor: i bot vengono utilizzati per infettare altri computer e aggiungerli all’elenco di bot che possono essere controllati dall’attaccante per.fini differenti;
• Botnet per furto di informazioni: i bot vengono utilizzati per raccogliere informazioni personali dalle loro vittime tramite vari mezzi (keylogger, screenshot grabber, ecc.). I dati raccolti vengono quindi rispediti al server di comando e controllo e rivenduti nelle underground in cambio di denaro. Questi tipi di malware possono essere installati sui computer della vittima manualmente (inducendola a installare del software dannoso) o automaticamente (utilizzando attacchi di download drive-by);
• Botnet per spam: molte persone pensano che lo spam sia un ricordo del passato, ma praticamente tutti noi lo abbiamo sperimentato almeno una volta nella vita, anche se accidentalmente. Questi tipi di malware sono progettati per inviare milioni (o addirittura miliardi) di messaggi non richiesti da computer infetti in tutto il mondo alle loro potenziali vittime. Gli indirizzi e-mail utilizzati da queste botnet possono essere raccolti su siti web pubblici o con altri mezzi (ad esempio, infettando altri computer).

Come funziona una Botnet

Una botnet, come abbiamo visto può essere utilizzata per molti scopi, ma per poterci addentrare in questa analisi, dobbiamo per prima cosa comprendere come funziona una infezione da botnet.

Nel disegno riportato sotto, viene mostrato uno schema di una classica infezione. La mail di phishing è un esempio, in quanto il vettore di attacco iniziale può essere diverso. 

Sinteticamente possiamo suddividere l’infezione in 6 fasi che sono:

1. Il Bot master invia ad una vittima una mail di phishing, costringendola a cliccare sull’allegato utilizzando varie forme di ingegneria sociale. Per maggiori informazioni potete leggere il funzionamento di BazarCall/BazarLoader, un malware precursore molto utilizzato nelle attività ransomware, che spiega queste forme evolute di ingegneria sociale. Oltre al classico phishing, il malware che permette l’ingresso in una botnet viene spesso inserito all’interno di eseguibili (ad esempio i keygen) oppure software pirata;
2. Una volta eseguito dall’utente il software nella postazione di lavoro, tale software inizia a lavorare inviando informazioni al sistema di comando e controllo C2. Normalmente inizia ad inviare dati come i cookie di sessione dei siti visitati, dati sensibili dell’utente presenti nel suo hard disk, schermate o filmati di quello che avviene sulla PDL e sequenze di tasti premuti, come un normale keylogger;
3. L’utente non accorgendosi del malware, continua le sue attività, come ad esempio andare sui siti dell’organizzazione per la quale lavora, effettuare transazioni bancarie, ecc…
4. Ovviamente, tutte queste preziose informazioni vengono inviate al sistema di comando e controllo controllato dall’attaccante;
5. Ora l’attaccante può accedere a questi dati, analizzarli e comprendere come beneficiare di queste informazioni;
6. A questo punto il bot master può rivendere queste informazioni ad altri criminali che potranno condurre attività illecite simulando ed impersonando l’utente finale, sul quale è stato installato il malware.

I sistemi di cyber threat intelligence e i feed dark

Esistono diversi sistemi che permettono di scandagliare le darknet in cerca di informazioni riguardanti perdite di dati, eventuali domini o siti web sui quali il cybercrime sta organizzando attacchi, correlando le informazioni con il clear web, producendo report ed alert da analizzare manualmente.

Nel caso delle botnet, esistono siti nell’underground (come ad esempio il più conosciuto genesis) che sono stati creati per vendere l’accesso ai bot verso altri criminali informatici, in modo che questi poi possano condurre degli attacchi mirati magari conoscendo in precedenza le attività delle vittime.

Alcuni sistemi di intelligence, possono avere accesso ai sistemi di command e control o direttamente sulle PDL delle vittime, permettendo agli analisti di effettuare delle query mirate sui contenuti esfiltrati dai bot.

Questo perchè gli stessi criminali informatici mettono a disposizione dei feed e delle API integrabili all’interno dei sistemi, per avere quindi un accesso realtime alle minacce cyber che si stanno consumando nelle underground.

Andando quindi ad analizzare tali informazioni, effettuando ricerche per dominio o per email, all’interno di questi feed prodotti da questi strumenti, è possibile comprendere quali sino le reali minacce e quali bot sono installati su postazioni di lavoro che accedono ad uno specifico dominio.

Cosa si intende per sistema di cyber threat intelligence

Un sistema di cyber threat intelligence è un insieme di tecnologie, processi e risorse umane che consentono alle organizzazioni di identificare, analizzare e mitigare le minacce cibernetiche. Il sistema si basa sulla raccolta e sull’analisi di informazioni riguardanti le attività dei criminali informatici, comprese le loro tecniche, i loro strumenti e le loro motivazioni.

In genere, il sistema di cyber threat intelligence comprende:

1. Raccolta di dati: Questo può includere la scansione di fonti aperte o chiuse, la raccolta di dati dai propri sistemi di sicurezza, la collaborazione con altri esperti di sicurezza e la partecipazione a comunità online di sicurezza.
2. Analisi dei dati: I dati raccolti devono essere elaborati in modo da identificare le minacce potenziali e le tendenze del crimine informatico. Ciò richiede l’uso di strumenti di analisi dei dati avanzati, come l’apprendimento automatico e l’intelligenza artificiale.
3. Diffusione dell’intelligence: Una volta che le informazioni di intelligence sono state analizzate, queste devono essere diffuse a tutte le parti interessate all’interno dell’organizzazione, compresi i team IT e di sicurezza.
4. Azione: Infine, l’organizzazione deve prendere misure per mitigare le minacce identificate attraverso l’intelligence. Ciò può includere l’implementazione di misure di sicurezza aggiuntive, la patch di software vulnerabili o la segnalazione delle attività criminali alle autorità competenti.

In sintesi, un sistema di cyber threat intelligence aiuta le organizzazioni a prevenire e mitigare le minacce cibernetiche, fornendo informazioni tempestive e dettagliate sui criminali informatici e sulle loro attività.

Va da se che avere informazioni su cosa sta discutendo in quel momento il cybercrime relativamente alla tua azienda, porta un vantaggio strategico non indifferente nella gestione di una minaccia.

Come proteggerci dalle botnet

Per proteggerci dalle botnet occorre mettere in pratica una serie di consigli che poi sono spesso quelli che normalmente forniamo per proteggerci dai malware in generale. Alcuni di questi possiamo sintetizzarli in:

1. Installare e mantenere sempre aggiornato un software antivirus di qualità.
2. Evitare di aprire e-mail sospette e di cliccare su link o allegati da fonti sconosciute.
3. Mantenere aggiornato il sistema operativo del computer e gli altri software utilizzati.
4. Utilizzare una password sicura e cambiarla regolarmente.
5. Non utilizzare la stessa password per più account.
6. Utilizzare una connessione sicura e crittografata quando si effettuano transazioni online sensibili, come operazioni bancarie.
7. Non condividere informazioni personali o sensibili su siti web non sicuri.
8. Utilizzare un firewall per bloccare l’accesso non autorizzato al computer.
9. Monitorare regolarmente l’attività del proprio computer e segnalare eventuali anomalie o attività sospette.
10. Utilizzare strumenti di sicurezza aggiuntivi, come ad esempio un software di sicurezza Internet, un filtro antispam e un sistema di rilevamento delle intrusioni per aumentare la propria protezione contro le botnet.