image

Microsoft heeft verrassing voor botnet-slachtoffers

dinsdag 1 juni 2010, 00:38 door Redactie, 16 reacties

Eind februari haalde Microsoft het Waledac botnet uit de lucht en binnen een aantal weken laat het weten wat het met de achtergebleven besmette machines doet. Dat zei Microsoft advocaat John Boscovich tijdens een bijeenkomst voor journalisten in Redmond. Boscovich is onderdeel van de Digital Crimes Unit (DCU), die samen met andere advocaten en onderzoekers misstanden en dreigingen op het web aanpakt.

"Mensen vragen altijd waarom Microsoft dit doet. Ten eerste is het goed voor onze klanten en dus onszelf, ten tweede is het het juiste om te doen", aldus de advocaat. "Je wilt dat de online wereld veilig is om zaken te doen." Het gaat daarbij om een symbiotisch relatie; wat goed is voor bedrijven is vaak ook goed voor de maatschappij. Microsoft heeft ook een eigen belang, aangezien bots en malware de reputatie van de softwaregigant beschadigen. "Er is altijd de associatie dat malware samenhangt met problemen in het besturingssysteem."

Botnets
Met name de bestrijding van botnets krijgt prioriteit, aangezien die de infrastructuur van veel criminele activiteiten vormen, zoals het versturen van spam en uitvoeren van DDoS-aanvallen. Vanwege het internationale karakter is het lastig om bots te bestrijden, zowel technisch als juridisch. De meeste landen hebben verschillende wetgeving als het gaat om cybercrime, wat onderzoek vaak bemoeilijkt. Reden voor Microsoft om te kijken of het mogelijk was een juridisch raamwerk met aanvullende technische tegenmaatregelen te ontwikkelen, dat het botnet-probleem zou kunnen oplossen.

De proef werd uitgevoerd op het Waledac, een botnet van middelgrote omvang. Dat was ook één van de redenen waarom Microsoft dit specifieke botnet koos. Tevens hadden academische en industriële partners van de DCU dit botnet uitgebreid bestudeerd. "Dat deed ons geloven dat we met dit botnet een grotere kans van slagen hadden", aldus Boscovich. Het gaat dan om de manier waarop het botnet werkte en communiceerde. Het gevolg was een tweeledige aanpak.

Reverse engineering
Waledac had een Command & Control kanaal, aangevuld met een soort P2P backup-mechanisme, in het geval de bot geen verbinding met bepaalde domeinen kon maken. De werking van dit P2P-netwerk was zo goed bestudeerd, dat onderzoekers van mening waren dat ze het konden ontregelen. Waledac paste verschillende anti-debugging trucs toe om reverse engineering te bemoeilijken, zoals onderzoekers van het Honey Project onlangs uitlegden. De analyse is nu ook online verschenen. "Door debugging tools op een slimme manier te gebruiken, kunnen we nog steeds de individuele stappen volgen en controleren", aldus onderzoeker Tillmann Werner.

De juridische aanpak was het werk van Boscovich. Hij onderzocht hoe domeinnamen werden geregistreerd en hoe het dispuut resolutie mechanisme van ICANN werkt, een Amerikaanse organisatie die bepaalt welke top level domeinen er bestaan. Als een domein wordt ontdekt dat foute dingen op het web doet, dan licht de registrar de registrant van de domeinnaam in. Vervolgens spelen er verschillende regels, zoals het aantal dagen waar binnen gereageerd moet worden. Al met al kan het weken duren voordat de klager over een domeinnaam uitslag krijgt wat er met de domeinnaam gebeurt. Tegen die tijd wordt de domeinnaam al niet meer gebruikt en begint het scenario weer van voor af aan.

Ex parte
Daarom wilde Microsoft controle over de domeinnamen van Waledac krijgen, zonder inmenging van andere partijen. "Maar het moest wel legaal gebeuren", aldus Boscovich. De softwaregigant maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. Dat bewijs bestond uit 277 .com domeinnamen die Waledac gebruikte. Verisign, dat de .com domeinnamen beheert, zit in Virginia, wat ook een juridisch voordeel was. Microsoft overtuigde de rechter in Virginia dat de domeinnamen onderdeel van een botnet waren, waarop die een tijdelijke "restraining order" uitsprak, zonder dat de eigenaren van de domeinnamen werden ingelicht of gehoord. Daardoor konden in één keer alle domeinnamen uit de lucht worden gehaald.

Op hetzelfde moment van de juridische procedure, waren de academische partners bezig met het vergiftigen van de peer-tabel van het Waledac botnet. De bots kregen de opdracht om met een "sinkhole" verbinding te maken. Daardoor hadden de bots geen verbinding meer met het botnet en de botnetbeheerder. De uitspraak van de rechter kwam net op tijd, want ondertussen waren er 20 .com domeinnamen in China geregistreerd die niet onder het bevel van de rechter vielen, waardoor de hele operatie in gevaar kwam. Microsoft waarschuwde het Chinese CIRT, dat op tijd de nieuwe domeinnamen uit de lucht haalde.

Succesverhaal
"We weten dat het Waledac botnet niet meer wordt beheerd door de botnetbeheerders", zo liet een trotse Boscovich weten. "We denken dat we deze nieuwe aanpak kunnen herhalen." Daarnaast leverde de operatie waardevolle contacten met onderzoekers en academici op. Bij Operatie B49, zoals Microsoft het bestempelde, speelden ook Nederlandse autoriteiten een rol. Het ging in dit geval om de P2P-servers van Waledac die in Nederland waren ondergebracht en onder Nederlandse wetgeving werden uitgeschakeld.

Microsoft hoopt de tactiek ook op andere botnets toe te passen. Toch heeft de softwaregigant nog een verrassing. "De operatie is nog niet voorbij. In de komende weken hopen we het verhaal van Waledac te sluiten." De Command & Control structuur mag dan zijn uitgeschakeld, voldoende machines zijn nog steeds met de malware besmet. Microsoft voegde detectie van de bot aan de Malicious Software Removal Tool toe, maar het kan zijn er nog besmette machines zijn achtergebleven. "De Waledac operatie is nog niet voorbij en we zijn bezig met de laatste fase van de operatie hoe we het probleem van de besmette machines kunnen aanpakken. Ik verwacht dat als we de verschillende problemen hebben opgelost die ons hierbij wachten, we ook hier met een succesverhaal kunnen komen", liet Boscovich weten.

Reacties (16)
01-06-2010, 01:40 door Anoniem
Net als ik zei, alweer PR-praktijken. Het mag wel positief zijn, maar het schiet mij in het verkeerde keelgat. Constant "Wij doen dit, dit is juist. We willen vertrouwen"

Lelijk hoor.
01-06-2010, 07:31 door WhizzMan
In de licentievoorwaarden van de Waledac software stond niet dat je het mocht reversen. Als je de filosofie van MicroSoft volgt, hebben ze dus die licentievoorwaarden geschonden en zijn ze strafbaar. Of is ethical hacking ineens toch wel legaal?
01-06-2010, 08:15 door jaapd
Goed nieuws. Zo mogen ze nog wel even doorgaan.
01-06-2010, 09:05 door Anoniem
Door Anoniem: Net als ik zei, alweer PR-praktijken. Het mag wel positief zijn, maar het schiet mij in het verkeerde keelgat. Constant "Wij doen dit, dit is juist. We willen vertrouwen"

Lelijk hoor.
Het is toch ook "hun" netwerk, dan moeten ze het ook beheren..
01-06-2010, 10:39 door Preddie
Door WhizzMan: In de licentievoorwaarden van de Waledac software stond niet dat je het mocht reversen. Als je de filosofie van MicroSoft volgt, hebben ze dus die licentievoorwaarden geschonden en zijn ze strafbaar. Of is ethical hacking ineens toch wel legaal?

Ethical Hacking is altijd legaal, daarom staat dat woord Ethical ervoor (ethisch verantwoord). ;)

als de auteurs van de bot een licentievoorwaarde hadden gekoppeld hadden ze misschien kans gehad, maar ik vraag me af wat je dan wilt. Je wordt gezocht en mensen weten nog niet wie je bent, vervolgens ga je microsoft aanklagen omdat ze je bod hebben ontleed terwijl dat niet mocht, vervolgens weten ze wie je bent en krijg je gelijk een aantal zaken aan je broek ...... niet echt een slimme keuze van de botnet beheerders.....
01-06-2010, 10:44 door Anoniem
Als het een aantal maanden heeft geduurd om deze (relatief simpele) botnet te overmeesteren, hoeveel jaar zal het dan duren om de slimmere botnets (die geen IRC-kanalen gebruiken maar gewoon web-based leven) offline te halen?
01-06-2010, 10:48 door Anoniem
@redactie

Als jullie niet zelf aanwezig waren in Redmond mis ik de link naar de bron van veel van de informatie in het artikel. Ik zie twee links naar andere security.nl-artikelen, een naar Wikipedia, een naar honeynet.org, geen enkele naar de uitspraken van Boscovich.
01-06-2010, 10:59 door Redactie
Door Anoniem: @redactie

Als jullie niet zelf aanwezig waren in Redmond mis ik de link naar de bron van veel van de informatie in het artikel. Ik zie twee links naar andere security.nl-artikelen, een naar Wikipedia, een naar honeynet.org, geen enkele naar de uitspraken van Boscovich.
We waren zelf in Redmond.
01-06-2010, 11:01 door Anoniem
Door Anoniem: Net als ik zei, alweer PR-praktijken. Het mag wel positief zijn, maar het schiet mij in het verkeerde keelgat. Constant "Wij doen dit, dit is juist. We willen vertrouwen"

Lelijk hoor.

Dat kan je van de tweede alinea vinden, maar voor de rest vertellen ze gewoon wat ze hebben gedaan. Het is niet alleen PR.
01-06-2010, 11:11 door Anoniem
Door WhizzMan: In de licentievoorwaarden van de Waledac software stond niet dat je het mocht reversen. Als je de filosofie van MicroSoft volgt, hebben ze dus die licentievoorwaarden geschonden en zijn ze strafbaar. Of is ethical hacking ineens toch wel legaal?

Je moet die licentievoorwaarden wel accepteren. Accepteer je die niet dan wordt Waledac nog steeds op je PC geinstalleerd.

Ik denk eerder dat die licentievoorwaarden er zijn voor de criminelen die een deel van het botnet huren voor hun activiteiten. Ze mogen het hun verhuurde deel niet reverse engineeren omdat de Waledac schrijvers geen concurrentie willen. Al denk ik niet dat zij de partijen aan zullen klagen die wel aan reverse engineering doen. Maar ook in de criminele (botnet) wereld is er sprake van imago. Als er verspreid wordt dat een bepaalde huurder aan reverse engineering doet, dan heeft hij minder kans om andere botnets te huren voor zijn werk.

Peter
01-06-2010, 12:23 door [Account Verwijderd]
Door Redactie:
Door Anoniem: @redactie

Als jullie niet zelf aanwezig waren in Redmond mis ik de link naar de bron van veel van de informatie in het artikel. Ik zie twee links naar andere security.nl-artikelen, een naar Wikipedia, een naar honeynet.org, geen enkele naar de uitspraken van Boscovich.
We waren zelf in Redmond.
+1 voor ontopic
01-06-2010, 13:21 door [Account Verwijderd]
[Verwijderd]
01-06-2010, 13:22 door [Account Verwijderd]
[Verwijderd]
01-06-2010, 14:25 door Anoniem
Voor elk botnet 10 andere. Een botnet uitschakelen is zelfs geen pijnbestrijding, integendeel. Door het neerhalen van botnets komen er nieuwe bots met onbekende ip's in nieuwe botnetten. Dat maakt tijdige spamdetectie veel moeilijker.

Vigilantisme zoals hier getoond lost niets op en zorgt voor meer overlast.

Men had de daders moeten opsporen, aanklagen en veroordelen. Hoewel dat ook zorgt voor moeilijke detectie als er nieuwe spammers opstaan, is het toch veel meer effectief in spambestrijding.
01-06-2010, 16:19 door Anoniem
RESPECT!
02-06-2010, 17:58 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.