De omvang van botnets die Peer-to-Peer (P2P) gebruiken om besmette computers aan te sturen is veel groter dan oorspronkelijk werd aangenomen. Dat blijkt uit onderzoek van Christian Rossow, Dennis Andriesse, Tillmann Werner, Brett Stone-Gross, Daniel Plohmann, Christian Dietrich en Herbert Bos. Rossow is een onderzoeker aan de Vrije Universiteit van Amsterdam.
De onderzoekers wilden zien hoe groot P2P-botnets in werkelijkheid zijn en hoe ze uitschakeling door politie en opsporingsdiensten weten te voorkomen. Gecentraliseerde botnets die via een Command & Control-server worden aangestuurd zijn namelijk veel eenvoudiger uit de lucht te halen dan P2P-botnets, aangezien de centrale server de achilleshiel is.
P2P-botnets zijn veel veerkrachtiger omdat ze geen 'single point of failure' hebben, aldus de onderzoekers. Die presenteerden hun onderzoek (PDF) tijdens het IEEE Symposium over Security en Privacy in San Francisco. In totaal ontdekten de onderzoekers 11 actieve P2P-botnets, waarvan er een aantal al jaren bestaan.
Omvang
Een veel gebruikte tactiek om de omvang van P2P-botnets te meten is door de lijst met 'peers' van bekende bots op te vragen en vervolgens van de ene naar de andere besmette computer te gaan, totdat alle computers zijn geteld. In werkelijkheid blijkt dat deze methode zeer onnauwkeurig is en er een groot aantal geïnfecteerde machines wordt gemist.
De onderzoekers wisten hun eigen systemen in de P2P-botnets te krijgen. Deze systemen deden actief aan de communicatie tussen de besmette computers mee en wisten zo alle bots te tellen. Zo bleek dat het Sality-botnet niet uit 22.000 bots te bestaan, zoals de crawler vond die door de lijst met peers ging, maar uit meer dan 900.000 computers.
De populatie werd met een factor 110 onderschat. De crawlers hebben vooral problemen met het tellen van besmette computers achter NATs, proxies en firewalls, waardoor ze tussen de 60% en 87% missen.
Uitschakelen
Ook werd er door de onderzoekers naar manieren gekeken om de botnets uit te schakelen. Een populaire methode is het 'sinkholen' waarbij wordt geprobeerd om de besmette computers verbinding met de computers van beveiligingsbedrijven of onderzoekers te laten maken. Sommige P2P-botnets, zoals Zeus en Sality, zijn bestand tegen dit soort aanvallen.
Zo gebruikt Sality een reputatiesysteem om te bepalen welke bots in de lijst met besmette computers worden toegelaten en gebruikt Zeus automatische blacklisting van sinkholing servers die te agressief communiceren. De onderzoekers concluderen dat er dringend behoefte is aan onderzoek naar alternatieve methoden om P2P-botnets aan te pakken.
Deze posting is gelocked. Reageren is niet meer mogelijk.