'Groot botnet van miljoen computers is afsplitsing Tor-botnet'
Een groot nieuw botnet dat begin oktober werd ontdekt en uit een miljoen computers bestaat is zeer waarschijnlijk een afsplitsing van het Mevade Tor-botnet. Dat melden onderzoekers van AnubisNetworks in een onlangs gepubliceerde analyse.
Het nieuwe botnet gebruikt een domein-generatie algoritme (DGA) om met de Command & Control (C&C)-servers verbinding te maken. In dit geval maakten de besmette computers verbinding met 21 willekeurige domeinnamen die op .su eindigen, het top-level domein (TLD) van de voormalige Sovjet-Unie.
Onderzoekers wisten het botnet te 'sinkholen', waarbij de besmette computers verbinding maken met een domein dat in handen van de onderzoekers is, in plaats van de botnetbeheerders. Binnen 24 uur werden 150.000 unieke besmette IP-adressen gemeten, wat uiteindelijk opliep tot 990.000 actieve infecties. De infecties bevinden zich over de hele wereld, behalve in China, wat de onderzoekers verbaasde.
Mevade
Uiteindelijk werd een IP-adres ontdekt dat volgens beveiligingsbedrijf Websense door het Mevade Tor-botnet wordt gebruikt. Dit botnet werd begin september ontmaskerd en bleek verantwoordelijk te zijn voor de mysterieuze groei van het aantal gebruikers van het Tor-anonimiseringsnetwerk. Via dit netwerk kunnen gebruikers onder andere hun IP-adressen verbergen en is het lastiger om de werkelijke locatie van een computer te achterhalen.
IP-adressen
De botnetbeheerders lieten de met Mevade besmette computers via het Tor-netwerk communiceren, waardoor het aantal Tor-gebruikers van een stabiele 600.000 zelfs de 4 miljoen passeerde. Op de dag dat de onderzoekers zagen hoe het nieuwe botnet verbinding met de .su domeinen maakte, begon het aantal gebruikers van het Tor-netwerk af te nemen.
Op dit moment is het aantal met één miljoen gedaald ten opzichte van begin oktober. Een verschil dat overeenkomt met het aantal IP-adressen die de onderzoekers met hun sinkhole-domein verbinding zagen maken. De onderzoekers vermoeden dan ook dat dit nieuwe botnet in werkelijkheid een afsplitsing van het oude Mevade-botnet is.
Het zou kunnen zijn dat het aan een nieuwe eigenaar is verkocht die zich in China bevindt. Dat zou ook verklaren waarom er geen infecties in China werden gemeten, omdat deze computers geen verbinding met de domeinen van de onderzoekers maken. Vooralsnog lijkt het erop dat het botnet alleen wordt gebruikt om naar de digitale valuta bitcoin te 'minen'.
Het heeft uiteraard niets te maken dat infecties in China niet bij Tor kunnen komen en dus ook geen update commando krijgen.
o_O
Daarom hebben de bots (als er geïnfecteerde computers in China waren) ook geen update kunnen ontvangen die ze nu via automatisch gegenereerde domeinen laat communiceren.
Daarom hebben de bots (als er geïnfecteerde computers in China waren) ook geen update kunnen ontvangen die ze nu via automatisch gegenereerde domeinen laat communiceren.
OT: Op zich zou ik het niet zo heel erg vinden als ze op het tor netwerk zouden blijven werken, zolang ze ook relays en exit nodes zouden hosten op hun bots ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
