Dit is geen Fast-Flux. Bij Fast-Flux beheer je als botnet master in principe je eigen nameservers, zodat je constant andere gekraakte machines aan kunt wijzen als botnet controller. Het maakt het voor onderzoekers naar het botnet dan heel lastig om de echte controller te vinden. Als je eindelijk een gekraakte machine hebt onderzocht, zit de controller al weer ergens anders.
Dit is single-flux. Je hebt ook nog double-flux en daarbij wisselt ook de nameserver regelmatig van plek cq. IP adres. Dat maakt het nog moeilijker, omdat je dan ook de nameservers niet kunt vinden. Als je die namelijk te pakken hebt kunnen nemen, kun je alle bots naar de door jou gewenste controller gaan. Met double-flux lukt je dat dus ook niet. Je kunt misschien wel een nameserver vinden, maar dan wordt de verwijzing naar nameserver gewijzigd in de database van de registry en zit je met een onbruikbaar systeem.
De besproken wijze om botnets te vinden die random domeinen gebruiken is misschien bruikbaar. Het nadeel hiervan is wel dat je dan moet meten tussen de machine van de eindgebruiker en de nameserver die hij gebruikt. Dat zal in de meeste gevallen die van de provider zijn. Als je buiten het netwerk van de provider gaat kijken, zie je niets anders dan dat iemand bij de provider een vreemd domein opvraagt.
Dit is dus eigenlijk een uitbreiding op wat er nu al gebeurt op bepaalde nameservers. Omdat me weet wanneer welke domeinen door Conficker gebruikt worden, kan een analyse van de vragen aan de nameserver bepaald worden of een machine besmet is. En zelfs in dit geval, waarbij de domeinen bekend zijn, is er geen systeem dat meer dan 80% betrouwbaarheid geeft. De meeste domeinen die ik langs zie komen, zitten op 30% tot 60% betrouwbaarheid.
Je ziet namelijk ook dat men steeds meer gebruik maakt van sociale netwerksites. Eigenlijk is dat niets nieuws, want IRC is ook een sociaal netwerksite. Dat wordt alleen nog maar zo weinig gebruikt dat een verbinding met een IRC server bij de meeste providers al als verdacht wordt beschouwd. Bezoek aan een bepaald profiel in facebook of inschrijving als follower van een bepaalde Twitter gebruiker, valt niet op. Ik denk dat dat de richting is waarin een aantal botnets gaat.
Peter