image

Beveiliger sloopt botnet binnen 24 uur

donderdag 12 november 2009, 16:53 door Redactie, 14 reacties

Een berucht botnet dat voor ruim 4% van alle spam ter wereld verantwoordelijk is, is door een proactieve botnetjager binnen 24 uur ontmanteld. Normaliter onderzoekt beveiligingsbedrijf FireEye de werking van de verschillende botnets die actief zijn. In het geval van Mega-D / Ozdok besloot men tot actie over te gaan. En dat is een stuk lastiger dan alleen het vinden van de coördinaten en backup mechanismen van de command & controle server die het botnet beheert. "Voor het uit de lucht halen moet iemand het initiatief nemen en een gecombineerde poging doen met partijen zoals internet service providers, registrars, etc.", zegt onderzoeker Atif Mushtaq. "In plaats van een passieve rol, besloot FireEye dit keer om met deze groepen samen te werken." Met als gevolg dat alle grote command & controle servers van het botnet uit de lucht zijn gehaald. "Ongeacht het aantal mechanismen om op terug te vallen, als ze niet goed geïmplementeerd zijn, is het botnet kwetsbaar."

De operatie richtte zich op verschillende punten tegelijkertijd, zodat het botnet niet op andere servers kon terugvallen. De eerste stap was het verzamelen van het bewijs tegen de domeinnamen die Ozdok gebruikte. Vervolgens waarschuwde het onderzoeksteam de betrokken internet service providers. De tweede stap was het inlichten van de registrars om de actieve Command & Controle domeinen uit de lucht te halen. Als derde actie besloot FireEye alle C&C domeinnamen te registreren die nog niet geregistreerd waren. De botnetbeheerder had dit voor onbekende redenen zelf niet gedaan.

Mogelijk
De domeinen wijzen nu door naar de servers van FireEye. "Dat betekent dat alle Ozdok zombies geen verbinding meer met hun echte C&C maken, maar met onze server." Binnen 24 uur kwamen zo'n 265.000 unieke IP-adressen voorbij. FireEye wil die machines helpen om weer in een "normale staat" terug te keren. "Het lijkt of alles volgens plan ging", merkt Mushtaq op. Volgens spambestrijder Marshal was de actie inderdaad een succes. "Het laatste spambericht van Ozdok was zo'n zeven uur geleden, het lijkt erop dat de actie een impact heeft gehad." Mushtaq besluit dat de operatie laat zien dat het moeilijk, maar mogelijk is om de naarste botnets ter wereld aan te pakken.

Reacties (14)
12-11-2009, 17:19 door MrBil
Goed werk FireEye! Nu nog iets unieks bedenken, en het op je eigen houtje regelen.
12-11-2009, 17:50 door Anoniem
ping <domeinnaam geregistreerd door FireEye>; ./0day_dns_pwn.py <ip>; en er staat een oncontroleerbaar botnet op naam van FireEye, wie is er op zon moment strafbaar? Misschien is het een leuke voor de juridische vraag. Ook is het best wel vraagbaar of het wel legaal is om een botnet over te nemen, 265.000 pc's vergt wat verantwoordelijkheid als je het mij vraagt en of alle werknemers van FireEye zo vertrouwelijk zijn vraag ik me ook af.
12-11-2009, 17:56 door Anoniem
Goed werk!
Mooi zo
12-11-2009, 18:03 door Anoniem
Heel goed werk! Mijn respect hebben ze verdient.

[goestin]
12-11-2009, 18:07 door Anoniem
Hulde!
12-11-2009, 18:50 door spatieman
zie je wel.
het wel mogelijk, maar alleen als er samenwerking is.
daar antivirus schrijvertjes, met jullie peperdure oplossingen die niet werken......xD
12-11-2009, 18:52 door Anoniem
Je kunt je afvragen in hoeverre dit legaal is. Met name als ze de pc's van mensen in het botnet gaan wijzigen qua software.
12-11-2009, 19:05 door Anoniem
Spatieman, de machines die deel uitmaken van het botnet zijn nog steeds geïnfecteerd hoor...
12-11-2009, 20:21 door Anoniem
Had het al gelezen en het lijkt wel alsof er langzaam maar zeker een beweging op gang komt die ervoor zorgt dat de botnets langzaam maar zeker aangepakt gaan worden. Steeds meer onderzoekers blijken van mening dat ze een dergelijk probleem aan moeten pakken. 'k Vind dat persoonlijk wel een goede ontwikkeling.
Zo dadelijk krijgen enkel nog te maken met de juridische integratie van deze werkwijze in de huidige maatschappij.
Wat op zijn beurt ook niet makkelijk zal zijn, gezien de internationale omvang van het probleem.
Maar het zit er aan te komen... We zijn op de goede weg.
13-11-2009, 08:42 door Anoniem
one down, nu de rest nog
13-11-2009, 08:44 door Bass
Complimenten voor de mannen(en evt. vrouwen natuurlijk) die dit klaar gespeeld hebben. Ga zo door!
13-11-2009, 16:04 door Anoniem
Hoe kom ik erachter of mijn pc ook onderdeel is van een botnet ?
Meld mijn virusscanner (Nod32) dit ?

Dank u.
14-11-2009, 11:59 door Anoniem
"en er staat een oncontroleerbaar botnet op naam van FireEye, wie is er op zon moment strafbaar? Misschien is het een leuke voor de juridische vraag. Ook is het best wel vraagbaar of het wel legaal is om een botnet over te nemen"

Volgens mij zijn alle stappen die FireEye heeft genomen volstrekt legaal, en wat dat betreft zijn ze binnen de grenzen van de wet gebleven. Het feit dat malware nu verwijst naar DNS namen die zij hebben geregistreerd betekent nog niet dat FireEye daardoor verantwoordelijk is geworden voor de malware, of voor de schade welke mensen daardoor hebben opgelopen.

Welke van de in het artikel beschreven akties zijn volgens jou illegaal ?
17-11-2009, 08:43 door Arnoud Engelfriet
FireEye heeft de botnet clients niet verspreid en maakt er ook geen actief gebruik van. Het enige wat ze doen, is verkeer naar de C&C server naar hun server omleiden. Ik zou zo niet weten wat daar strafbaar aan is. Sterker nog, je zou kunnen betogen dat FireEye juist handelt zoals het hoort: als bij de buren een raampje stuk is tijdens hun vakantie, heb je ook het recht om in te grijpen (zaakwaarneming).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.