Gevangen botnet bestudeerd in laboratorium
Canadese en Franse onderzoekers hebben bewust drieduizend Windows XP machines met een bot besmet om de werking van een botnet te onderzoeken. Het experiment vond binnen een compleet afgesloten netwerk plaats en leverde interessante informatie op. De onderzoekers kozen voor de Waledac bot, die eerder dit jaar door Microsoft uit de lucht werd gehaald. Naast het infecteren van drieduizend virtuele Windows XP installaties op een cluster van 98 servers, werd ook het botnet command & control systeem gesimuleerd.
In het verleden is er wel onderzoek naar "live" botnets geweest, maar het hebben van een eigen botnet in een experimentele omgeving gaf de onderzoekers veel meer vrijheid. "Als je experimenteert op een live botnet, kun je een negatieve reactie van de eigenaar uitlokken die de geïnfecteerde machines kan beschadigen", zegt Pierre-Marc Bureau, onderzoeker bij anti-virusbedrijf ESET en onderdeel van het onderzoeksteam. "Je bestuurt dan ook potentieel de machines van onschuldige gebruikers, wat ethische en juridische problemen met zich meebrengt."
Bureau merkt op dat het niet eenvoudig was om de eigenaar van de 1 miljoen dollar kostende servercluster te overtuigen dat het een goed idee was om malware op de machines te installeren.
Encryptie
Eén van de interessante resultaten van het onderzoek laat de impact van encryptie op het verkeer tussen de bots en C&C-server zien. Veel botnets gebruiken zwakke encryptie, wat volgens experts kwam omdat de ontwerpers slechte programmeurs zijn. Maar het onderzoek toont aan dat dit een bewuste keuze is. "We ontdekten dat de C&C-server snel werd overbelast door de cryptografie. We begrepen dat ze bepaalde beslissingen moeten maken vanwege de zware belasting van een groot botnet."
Ook experimenteerden de onderzoekers met het toevoegen van valse bots aan het netwerk om zo het gedrag van het botnet te beïnvloeden. De onderzoekers kregen het voor elkaar om via deze aanval het botnet met het versturen van spam te laten stoppen. Bureau erkent dat de simulatie met drieduizend computers niet overeenkomt met een echt Waledac botnet, dat makkelijk uit 50.000 tot 100.000 machines bestond. "Nu we voor de eerste keer hebben aangetoond dat het mogelijk is, hoop ik dat de computermiddelen beschikbaar komen om meer te doen."
Ik denk zelf aan een Rondje met daar in een golvend gekleurd Raampje of zoiets.
( o nee, die was te makkelijk en te laag)
Bij labs waar men met mobiele virussen werkt zijn dergelijke voorzorgsmaatregelen daadwerkelijk nodig. Bij F-Secure ga je bijvoorbeeld een soort luchtsluis door, welke bedoeld is voor het blokken van WIFI en andersoortige draadloze communicatie, om zo het 'ontsnappen' van virussen uit het lab te voorkomen.
In tegenstelling tot een lab waar met gevaarlijke biologische virussen gewerkt wordt, hoef je natuurlijk geen speciaal pak aan, en niet in een ontsmettingsdouche bij het verlaten van de ruimte ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
