Een coalitie van beveiligingsbedrijven heeft een botnet van 109.000 Windows-computers uitgeschakeld. Het gaat om het tweede Kelihos-botnet. Het eerste botnet werd eind september door onder andere Microsoft, Kaspersky Lab en SURFnet uitgeschakeld. Dit keer trokken Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project ten strijde en wisten het botnet in vijf dagen te neutraliseren.
Ondanks de eliminatie van het eerste botnet werd in januari bekend dat er een tweede Kelihos-botnet actief was. Hoewel het om een nieuw botnet ging, was de malware die het gebruikte gebaseerd op dezelfde code als die van het oorspronkelijke Kelihos-botnet. Uit de nieuwe malware bleek dat er bij het tweede botnet sprake was van enkele verbeteringen, waaronder nieuwe infectiemethoden en Bitcoin-functies voor het stelen van gegevens en digitaal geld.
Net als het oorspronkelijke botnet maakte deze versie gebruik van een netwerk van geïnfecteerde computers om spam te verzenden, persoonlijke gegevens te stelen en gedistribueerde denial of service (DDoS)-aanvallen uit te voeren op specifieke doelwitten.
Sinkhole
In de week van 19 maart van 2012 voerde de coalitie van beveiligingsbedrijven een sinkhole-operatie uit, waardoor het botnet met succes werd uitgeschakeld. Beide versies van het Kelihos-botnet waren peer-to-peer (P2P)-botnets. Dit houdt in dat alle computers binnen het botnet netwerk als server en/of client kunnen fungeren, in tegenstelling tot traditionele botnets die gebruikmaken van één C&C-server.
Om dit flexibele P2P-botnet te neutraliseren creëerde de groep van beveiligingsexperts een wereldwijd netwerk van computers die de infrastructuur van het botnet infiltreerden. Na een korte periode slaagde dit sinkhole-netwerk erin om zijn ‘populariteit’ binnen het botnet te vergroten, waardoor er steeds meer geïnfecteerde computers onder de controle van de experts kwamen. Hierdoor konden de criminele exploitanten van het botnet de computers niet langer bereiken.
Naarmate er meer geïnfecteerde machines worden geneutraliseerd, zorgt de P2P-architectuur ervoor dat de infrastructuur van het botnet als het ware inzinkt: zijn kracht neemt exponentieel af naarmate het de controle over steeds meer computers verliest.
Data-mining
Sinds start van de sinkhole-operatie op 19 maart is het botnet niet langer bruikbaar. Aangezien de meerderheid van de computers binnen het botnet met het sinkhole-netwerk verbonden zijn, is het mogelijk om met behulp van data-mining het aantal infecties en de geografische locatie van de geïnfecteerde computers bepalen.
Tot dusver zijn er 109.000 geïnfecteerde IP-adressen geteld, waarvan 84% Windows XP als besturingssysteem gebruikt. De meerderheid van deze IP-adressen bevindt zich in Polen.
Deze posting is gelocked. Reageren is niet meer mogelijk.