Botnet jagers openen jacht op zombie meester servers
Geinfecteerde zombie computers, vaak verzameld in een botnet, zijn een groeiend probleem. De machines worden gebruikt voor het versturen van spam en virussen en het uitvoeren van DoS-aanvallen. Onlangs werd er nog tot een wereldwijd offensief opgeroepen waarbij vooral zombie computers het doelwit waren. Volgens een kleine groep security experts heeft het weinig zin om je bezig te houden met deze geinfecteerde machines. Voor elke computer die afgesloten wordt, verschijnen er weer tien nieuwe zombies. De groep wil dan ook de servers aanpakken die de botnetwerken besturen. "Het idee is om informatie te delen en uit te zoeken waar de botnets hun instructies van krijgen. Als we eenmaal de "command-and-control" server geidentificeerd hebben, kunnen we snel toeslaan en hem uitschakelen. Als het hoofd eraf is, is het botnet grotendeels nutteloos." zegt anti-virus veteraan Roger Thompson.
Door het dataverkeer te analyseren en met behulp van reverse-engineering tools, kunnen de experts nieuwe Trojaanse paarden analyseren, en kijken hoe de zombies bestuurd worden. "Als we eenmaal een Trojaans paard in handen krijgen of onze eigen machine geinfecteerd wordt, kunnen we kijken wat het doet en met welke server verbinding wordt gezocht."
misschien zijn er nog meer technieken denkbaar om de "hoofddader"
(server) te vinden. Via Geografisch Forensisch onderzoek, kunnen nu ook
de serie-moordenaars worden gevonden.
Misschien een goed idee om zombie meesters snel te vinden?
hun instructies van krijgen. Als we eenmaal de "command-and-control"
server geidentificeerd hebben, kunnen we snel toeslaan en hem
uitschakelen. Als het hoofd eraf is, is het botnet grotendeels
nutteloos."
Hier maakt Roger Thompson toch echt een denkfoutje.
Virusschrijvers zullen hier rekening mee gaan houden en meerdere IRC
server gaan voorprogrammeren waarbij als de een niet gevonden kan
worden hij doorgaat naar de andere die pas geactiveerd hoeft te worden
als de 1e uit de lucht is.
Wormen als bv Sober zijn uitgerust met meerdere manieren om contact te
leggen met hun "master".
Sober kan bestuurd worden via een specifiek IRC kanaal maar als dat
contact verloren gaat is dat geen ramp voor de master. De Sober worm zal
ook op gezette tijden (voorgeprogrammeerde) websites opzoeken voor
updates waarbij de functie van de zombie weer hersteld kan worden.
Als de virusschrijvers het wat slimmer zouden aanpakken dan zouden ze
de website die bezocht moeten worden voor de updates niet
voorprogrammeren maar dan zouden ze bv via zoekopdrachten met google
moeten zoeken naar deze websites zodat de locaties variabel zijn en niet
via reverse engineering gevonden kunnen worden.
Wil je een botnetwerk echt uitschakelen dan zul je niet alleen de
commando server uit moeten schakelen maar moet je ook zorgen dat de
bots geen commandos meer kunnen aannemen. Dat betekend dat je de
bots zelf ook uit moet schakelen. Dit kan juridisch nog wel eens gevolgen
gaan hebben omdat je eerst toestemming van de eigenaar van de pc zou
moeten hebben.
Dat zou met de huidige bots nog wel kunnen door een deinstallatie
programma via de commando server te laten downloaden en starten.
In de toekomst verwacht ik dat de bots wel beveiligd worden zodat
deinstallatie via de commando server niet meer zal werken. Dat kan bv
door encrypted updates te gebruiken waarbij het wachtwoord voor decrypty
via de commando server wordt aangeleverd om de update te starten.
Het vinden van de eigenaren van zo'n botnetwerk is ook onbegonnen werk.
De commando's op deze commando servers worden vaak ook weer
gegeven via een rij van zombie machines die ook als proxy zijn ingericht en
die de logs op de betreffende machines wissen na afloop. Daarnaast zit je
dan ook nog met onwillende en/of onkundigge gebruikers, ISP's en
regeringen die niet mee willen werken aan de opsporing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!