Nieuws
image

Microsoft bestrijdt botnets vanuit de cloud

woensdag 29 mei 2013, 12:00 door Redactie, 3 reacties

Microsoft gaat informatie over botnets in realtime met internetproviders over de hele wereld delen, zodat die sneller tegen de kwaadaardige computernetwerken kunnen optreden. De softwaregigant lanceerde in 2010 het Microsoft Active Response for Security (MARS) programma om proactief botnets te bestrijden. Daarbij werd ook informatie over botnets met providers en CERTs gedeeld.

Door nu ook de cloud te gebruiken kan Microsoft details over bekende botnet-infecties in realtime met internetproviders en Computer Emergency Response Teams (CERTs) delen.

Door het nieuwe op Windows Azure-gebaseerde Cyber Threat Intelligence Programma (C-TIP) krijgen deze organisaties volgens Microsoft beter inzicht in de dreigingen en kunnen ze sneller de eigenaren van besmette computers inlichten.

Privécloud
C-TIP zorgt ervoor dat aangesloten partijen elke 30 seconden informatie over geïnfecteerde computers in een bepaald land of netwerk ontvangen. Al deze informatie wordt direct via Windows Azure naar de privécloud van de organisaties geüpload. Inmiddels hebben de Luxemburgse en Spaanse CERTs zich al voor het initiatief aangemeld.

Reacties (3)
29-05-2013, 12:36 door lucb1e
Ik vraag me af of er botnets zijn die UDP gebruiken voor een deel van hun communicatie. Dan kun je met wat IP spoofing iemand's connectie eruit gooien door een pakketje naar een honeypot te sturen. XS4ALL sluit in ieder geval klanten af wanneer ze melding krijgen dat iemand contact legt met een CNC server.
29-05-2013, 16:24 door Anoniem
Door lucb1e: Ik vraag me af of er botnets zijn die UDP gebruiken voor een deel van hun communicatie. Dan kun je met wat IP spoofing iemand's connectie eruit gooien door een pakketje naar een honeypot te sturen. XS4ALL sluit in ieder geval klanten af wanneer ze melding krijgen dat iemand contact legt met een CNC server.

Dat zijn er al aardig wat (Zeus, ZeroAccess/Sirefef, skynet etc) - zoek maar eens op google met de term "botnet UDP c&c communication".

Ze maken alleen niet exclusief gebruik van udp, maar een combinatie van tcp en udp.
De reden daarvoor is geloof ik (bind me er niet op vast) dat UDP geen checksums hanteerd en erg eenvoudig gespoofed kan worden. Dit omdat udp geen sessies kent.

Veelal worden botnets lam gelegd door middel van sinkholes om zo communicatie te analyseren, op te vangen en een C&C server te emuleren.

Het kan zijn dat XS4ALL hun klanten afsluit als ze contact leggen met een C&C server al begrijp ik daar het nut niet echt van.

Je pakt alleen geinfecteerde machines via die verbinding, niet de operators. Die gebruiken toch wel proxies/VPN/TOR en/of een combinatie daarvan.

Daarbij denk ik niet dat veel mensen er begrip voor hebben en alleen maar boos worden dat ze afgesloten worden.

Jordy
29-05-2013, 17:44 door vimes
Je kan er natuurlijk op wachten dat dit systeem gehackt of geïnfiltreerd wordt door botnetbeheerders zodat ze hun botnets beter kunnen maskeren/optimaliseren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure