image

Spambotnet live tijdens conferentie uitgeschakeld

woensdag 27 februari 2013, 11:01 door Redactie, 0 reacties

Een beveiligingsonderzoeker heeft gisteren live tijdens een conferentie in de Verenigde Staten het Kelihos-botnet uitgeschakeld. Het botnet werd gebruikt voor het versturen van farmaceutische spam en het stelen van Bitcoin portemonnees en inloggegevens. Het is inmiddels de derde poging om het botnet voor goed te laten verdwijnen. In 2011 was Microsoft de eerste die het probeerde.

In maart van vorig jaar trokken Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project ten strijde en wisten het botnet in vijf dagen te neutraliseren. Al gauw werd duidelijk dat de botnetbeheerders een derde variant van de bot hadden verspreid, genaamd Kelihos.C.

Dit keer was het wederom een onderzoeker van CrowdStrike die voor een volgepakte zaal tijdens de RSA conferentie de besmette computers liet 'sinkholen'. Hierbij maken de bots verbinding met een domein en server die in handen van beveiligingsbedrijven of onderzoekers is, in plaats van de botnetbeheerders.

Botnet
"Elke bot die met het sinkhole verbinding maakt, zou nooit meer met het botnet moeten praten", aldus Tillmann Werner van CrowdStrike. Hoe groot het derde Kelihos-botnet was is onbekend. Werner was ook betrokken bij de twee eerdere pogingen om het botnet uit te schakelen.

Het belangrijkste was volgens de onderzoeker het 'vergiftigen' van de peer-to-peer infrastructuur van het botnet, zodat de bots niet met het peer-to-peer-netwerk van de botnetbeheerders zouden communiceren.

Peer-to-Peer
Kelihos beschikte niet over een centrale command & control-infrastructuur, maar communiceerde via peer-to-peer. In plaats van het uitschakelen van één of meerdere C&C-servers, moesten de onderzoekers nu een tussenlaag van proxy-servers uitschakelen die met een centrale server ergens op in het internet communiceerden.

Werner ontwikkelde uiteindelijk een 'sinkhole daemon' die zich voordeed als een bot, maar in werkelijkheid de andere bots in het botnet een 'giftige lijst' met adressen stuurde waardoor ze de proxy-servers blokkeerden en verbinding met de sinkhole van het beveiligingsbedrijf maakten.

Microsoft zal de nieuwste Kelihos-versie aan de gratis en in Windows ingebedde Malicious Software Removal Tool (MSRT) toevoegen en die in maart verspreiden, zodat de malware ook van de besmette machines wordt verwijderd, zo meldt Michael Mimoso van Kaspersky Lab.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.