image

Explosieve toename HTTP botnets

donderdag 28 januari 2010, 15:56 door Redactie, 9 reacties

Het aantal botnets dat HTTP gebruikt om met besmette computers te communiceren is het afgelopen half jaar verdubbeld. Traditioneel werden botnets via Internet Relay Chat (IRC) bestuurd, maar daar zit geen groei meer in. Het aantal IRC-gebaseerde botnets bleef rond de 400 steken, terwijl HTTP-gebaseerde botnets van 800 naar 1.600 groeide. De groei is volgens Team Cymru, een non-profit organisatie die zich met de bestrijding van cybercrime bezighoudt, te verklaren door de lage prijzen van HTTP botnet-toolkits.

Toolkits
Deze toolkits worden toegankelijker en de eenvoudiger te gebruiken HTTP interface, zorgt ervoor dat botnetbeheerders massaal IRC als communicatiekanaal links laten liggen. HTTP botnets worden daarnaast vaker voor Distributed Denial of Service (DDoS)-Aanvallen ingezet. "Er zijn verschillende manieren om aan dit soort aanvallen te verdienen, hoewel ze minder geliefd zijn dan andere alternatieve gebruiken voor botnets die meer opbrengen met minder risico."

De meeste Command & Controle servers, zowel voor IRC als HTTP, zijn in de Verenigde Staten ondergebracht. Ook Noord-Europa, met onder andere Nederland, speelt een belangrijke rol. Ondanks dat het aantal IRC-gebaseerde botnets niet groeide, was er ook geen daling zichtbaar. Daarom voorspelt Team Cymru dat dit soort botnets een rol zullen blijven spelen, maar dat de toekomst bij HTTP-gebaseerde botnets ligt.

Reacties (9)
28-01-2010, 15:59 door H.King
is ook vrij logisch, HTTP botnet kun je snel verplaatsen.
28-01-2010, 16:31 door SirDice
Ik denk dat de verschuiving eerder te maken heeft met het feit dat iedere systeem admin inmiddels weet dat die dingen via IRC werken. Poortje 6667 wordt dus scherp in de gaten gehouden. HTTP valt minder op en is makkelijker over een proxy heen te krijgen.
28-01-2010, 16:46 door Anoniem
"met onder andere Nederland"

Ga maar eens kijken bij Ecatel.
28-01-2010, 17:01 door Anoniem
Nou, zo moeilijk is het niet om de poort aan te passen hoor. Dat kan elke mongool.
28-01-2010, 17:32 door SirDice
Door Anoniem: Nou, zo moeilijk is het niet om de poort aan te passen hoor. Dat kan elke mongool.
Dat klopt maar de meeste IRC servers gebruiken toch 6667-7000.
28-01-2010, 21:14 door Preddie
standaard IPS/IDS systemen filter met DPI gewoon op "/join"..... bye bye botnet. HTTP wordt moeilijker omdat het sterk lijkt op legitiem verkeer.

of je moet je verkeer versleutelen of een eigen versie van een IRC server/client bouwen met totaal andere commando's andere poort als standaard
28-01-2010, 22:53 door MrBil
Door Predjuh: standaard IPS/IDS systemen filter met DPI gewoon op "/join"..... bye bye botnet. HTTP wordt moeilijker omdat het sterk lijkt op legitiem verkeer.

of je moet je verkeer versleutelen of een eigen versie van een IRC server/client bouwen met totaal andere commando's andere poort als standaard
Kuch. Als je bandbreedte in één keer met 80% groeit, dan vind ik dat vrij opvallend. Lijkt me? Ik heb al aardig wat hostings moeten afsluiten, en toch bleven ze maar beweren niet over hun limiet te gaan.
29-01-2010, 10:58 door Anoniem
Daarvoor heb je een web contect scanning, zoals radware.com
29-01-2010, 14:14 door Preddie
Door MrBil:
Door Predjuh: standaard IPS/IDS systemen filter met DPI gewoon op "/join"..... bye bye botnet. HTTP wordt moeilijker omdat het sterk lijkt op legitiem verkeer.

of je moet je verkeer versleutelen of een eigen versie van een IRC server/client bouwen met totaal andere commando's andere poort als standaard
Kuch. Als je bandbreedte in één keer met 80% groeit, dan vind ik dat vrij opvallend. Lijkt me? Ik heb al aardig wat hostings moeten afsluiten, en toch bleven ze maar beweren niet over hun limiet te gaan.


verbinding groeien mee, vaak wordt het niet opgemerkt ....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.