Nieuw methode voor bestrijden botnets
Onderzoekers hebben een nieuwe manier ontwikkeld voor het detecteren van botnets die de Fast-Flux DNS-techniek gebruiken. Bij deze techniek generen de bots willekeurige domeinnamen waar ze vervolgens verbinding mee maken. De botnetbeheerder registreert één van deze domeinen om met de bots te communiceren. Onderzoekers proberen vaak de malware te reverse-engineeren om het algoritme te achterhalen en de domeinnamen eerder dan de botnetbeheerder te registreren.
De manier die onderzoekers van de Texas A&M Universiteit hebben ontwikkeld, kijkt naar het patroon en de verspreiding van alfabetische karakters in een domeinnaam om te bepalen of het kwaadaardig of legitiem is. Zodoende kan men door het botnet gegenereerde domeinnamen herkennen. "Onze methode analyseert alleen DNS-verkeer en is daarom eenvoudig schaalbaar voor grote netwerken", zegt professor Reddy Runyon. "Het kan voorheen onbekende botnets detecteren door een klein gedeelte van het netwerkverkeer te analyseren."
Dit is single-flux. Je hebt ook nog double-flux en daarbij wisselt ook de nameserver regelmatig van plek cq. IP adres. Dat maakt het nog moeilijker, omdat je dan ook de nameservers niet kunt vinden. Als je die namelijk te pakken hebt kunnen nemen, kun je alle bots naar de door jou gewenste controller gaan. Met double-flux lukt je dat dus ook niet. Je kunt misschien wel een nameserver vinden, maar dan wordt de verwijzing naar nameserver gewijzigd in de database van de registry en zit je met een onbruikbaar systeem.
De besproken wijze om botnets te vinden die random domeinen gebruiken is misschien bruikbaar. Het nadeel hiervan is wel dat je dan moet meten tussen de machine van de eindgebruiker en de nameserver die hij gebruikt. Dat zal in de meeste gevallen die van de provider zijn. Als je buiten het netwerk van de provider gaat kijken, zie je niets anders dan dat iemand bij de provider een vreemd domein opvraagt.
Dit is dus eigenlijk een uitbreiding op wat er nu al gebeurt op bepaalde nameservers. Omdat me weet wanneer welke domeinen door Conficker gebruikt worden, kan een analyse van de vragen aan de nameserver bepaald worden of een machine besmet is. En zelfs in dit geval, waarbij de domeinen bekend zijn, is er geen systeem dat meer dan 80% betrouwbaarheid geeft. De meeste domeinen die ik langs zie komen, zitten op 30% tot 60% betrouwbaarheid.
Je ziet namelijk ook dat men steeds meer gebruik maakt van sociale netwerksites. Eigenlijk is dat niets nieuws, want IRC is ook een sociaal netwerksite. Dat wordt alleen nog maar zo weinig gebruikt dat een verbinding met een IRC server bij de meeste providers al als verdacht wordt beschouwd. Bezoek aan een bepaald profiel in facebook of inschrijving als follower van een bepaalde Twitter gebruiker, valt niet op. Ik denk dat dat de richting is waarin een aantal botnets gaat.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!