Botnet jagers openen jacht op zombie meester servers
Geinfecteerde zombie computers, vaak verzameld in een botnet, zijn een groeiend probleem. De machines worden gebruikt voor het versturen van spam en virussen en het uitvoeren van DoS-aanvallen. Onlangs werd er nog tot een wereldwijd offensief opgeroepen waarbij vooral zombie computers het doelwit waren. Volgens een kleine groep security experts heeft het weinig zin om je bezig te houden met deze geinfecteerde machines. Voor elke computer die afgesloten wordt, verschijnen er weer tien nieuwe zombies. De groep wil dan ook de servers aanpakken die de botnetwerken besturen. "Het idee is om informatie te delen en uit te zoeken waar de botnets hun instructies van krijgen. Als we eenmaal de "command-and-control" server geidentificeerd hebben, kunnen we snel toeslaan en hem uitschakelen. Als het hoofd eraf is, is het botnet grotendeels nutteloos." zegt anti-virus veteraan Roger Thompson.
Door het dataverkeer te analyseren en met behulp van reverse-engineering tools, kunnen de experts nieuwe Trojaanse paarden analyseren, en kijken hoe de zombies bestuurd worden. "Als we eenmaal een Trojaans paard in handen krijgen of onze eigen machine geinfecteerd wordt, kunnen we kijken wat het doet en met welke server verbinding wordt gezocht."
misschien zijn er nog meer technieken denkbaar om de "hoofddader"
(server) te vinden. Via Geografisch Forensisch onderzoek, kunnen nu ook
de serie-moordenaars worden gevonden.
Misschien een goed idee om zombie meesters snel te vinden?
hun instructies van krijgen. Als we eenmaal de "command-and-control"
server geidentificeerd hebben, kunnen we snel toeslaan en hem
uitschakelen. Als het hoofd eraf is, is het botnet grotendeels
nutteloos."
Hier maakt Roger Thompson toch echt een denkfoutje.
Virusschrijvers zullen hier rekening mee gaan houden en meerdere IRC
server gaan voorprogrammeren waarbij als de een niet gevonden kan
worden hij doorgaat naar de andere die pas geactiveerd hoeft te worden
als de 1e uit de lucht is.
Wormen als bv Sober zijn uitgerust met meerdere manieren om contact te
leggen met hun "master".
Sober kan bestuurd worden via een specifiek IRC kanaal maar als dat
contact verloren gaat is dat geen ramp voor de master. De Sober worm zal
ook op gezette tijden (voorgeprogrammeerde) websites opzoeken voor
updates waarbij de functie van de zombie weer hersteld kan worden.
Als de virusschrijvers het wat slimmer zouden aanpakken dan zouden ze
de website die bezocht moeten worden voor de updates niet
voorprogrammeren maar dan zouden ze bv via zoekopdrachten met google
moeten zoeken naar deze websites zodat de locaties variabel zijn en niet
via reverse engineering gevonden kunnen worden.
Wil je een botnetwerk echt uitschakelen dan zul je niet alleen de
commando server uit moeten schakelen maar moet je ook zorgen dat de
bots geen commandos meer kunnen aannemen. Dat betekend dat je de
bots zelf ook uit moet schakelen. Dit kan juridisch nog wel eens gevolgen
gaan hebben omdat je eerst toestemming van de eigenaar van de pc zou
moeten hebben.
Dat zou met de huidige bots nog wel kunnen door een deinstallatie
programma via de commando server te laten downloaden en starten.
In de toekomst verwacht ik dat de bots wel beveiligd worden zodat
deinstallatie via de commando server niet meer zal werken. Dat kan bv
door encrypted updates te gebruiken waarbij het wachtwoord voor decrypty
via de commando server wordt aangeleverd om de update te starten.
Het vinden van de eigenaren van zo'n botnetwerk is ook onbegonnen werk.
De commando's op deze commando servers worden vaak ook weer
gegeven via een rij van zombie machines die ook als proxy zijn ingericht en
die de logs op de betreffende machines wissen na afloop. Daarnaast zit je
dan ook nog met onwillende en/of onkundigge gebruikers, ISP's en
regeringen die niet mee willen werken aan de opsporing.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
