image

'Microsoft schaadt strijd tegen botnets'

maandag 10 juni 2013, 10:58 door Redactie, 3 reacties

Met het oprollen van ruim 1400 Citadel-botnets heeft Microsoft een hoop schade veroorzaakt bij beveiligingsonderzoekers en beveiligingsbedrijven. Dat beweert de Zwitserse beveiligingsonderzoeker Roman Huessy. Vorige week voerde Microsoft 'Operation b54' uit, waarbij het van een rechter de controle over duizenden domeinnamen kreeg.

De Citadel-botnets gebruikten deze domeinnamen om met besmette computers, die onderdeel van de botnets waren, te communiceren. Toen de domeinnamen in handen van Microsoft kwamen, liet de softwaregigant ze naar een server van Microsoft wijzen. Vervolgens kunnen besmette gebruikers bijvoorbeeld worden gewaarschuwd.

Deze techniek wordt 'sinkholing' genoemd en wordt al geruime tijd door onderzoekers en beveiligingsbedrijven toegepast, zowel voor onderzoek als commerciële reden. De informatie die de sinkholes opleveren kan bijvoorbeeld worden verkocht. Na de actie van Microsoft ontdekte Huessy dat verschillende domeinnamen uit zijn sinkhole waren verdwenen.

Domeinen
Verder onderzoek wees uit dat ze allemaal naar een server van Microsoft wezen. "Microsoft had niet alleen kwaadaardige domeinen in beslag genomen die de cybercriminelen gebruikten om met Citadel besmette computers te besturen, maar ook Citadel-domeinen die al een tijd geleden door mij waren gesinkholed." De sinkhole-domeinen waren duidelijk herkenbaar, zegt de onderzoeker.

Huessy zag dat Microsoft meer dan 300 domeinnamen in beslag had genomen die al door de Zwitserse onderzoeker in een sinkhole waren geplaatst. Ook andere partijen en onderzoekers zagen hetzelfde beeld. In totaal zouden van de meer dan 4000 in beslag genomen domeinen er zo'n 1000 al gesinkholed zijn.

PR-campagne
Volgens de onderzoeker was het niet de eerste keer, aangezien Microsoft bij het aanpakken van Zeus-botnets vorig jaar hetzelfde deed. "Ik hoop dat Microsoft inmiddels beter zou weten, maar er lijkt niets veranderd te zijn." Sterker nog, Huessy is bang dat de criminelen nu hun botnets gaan aanpassen zodat ze lastiger zijn uit te schakelen.

Daarnaast kunnen organisaties zoals de Shadowserver Foundation duizenden eigenaren van besmette computers niet meer waarschuwen, omdat de domeinen die voor de sinkholes gebruikt werden door Microsoft in beslag zijn genomen.

"De hele actie had geen grote impact op Citadel, behalve dat de onderzoeksprojecten van verschillende onderzoekers en non-profit organisaties zijn verstoord. Operation b54 was volgens mij niet meer dan een PR-campagne voor Microsoft", besluit Huessy.

Reacties (3)
10-06-2013, 11:05 door Anoniem
Ik denk dat Huessy betere manieren moet gaan verzinnen om botnets te bestrijden. Huessy vind het vooral erg leuk om statistieken te genereren met behulp van sinkholes, zonder het probleem aan te pakken.
10-06-2013, 13:41 door Anoniem
Door Anoniem: Ik denk dat Huessy betere manieren moet gaan verzinnen om botnets te bestrijden. Huessy vind het vooral erg leuk om statistieken te genereren met behulp van sinkholes, zonder het probleem aan te pakken.

Huessy misschien wel, maar ik zie regelmatig toch lange lijsten met besmette machines. Al die lijsten komen niet van Microsoft, maar van allerlei andere onderzoekers die domeinen sinkholen. Van Microsoft zie ik af en toe een lijstje met adressen van een specifiek botnet, maar die dat is vaak al weken oud. Vooral met dynamische adressen is het dan amper nog mogelijk om de besmette computer te achterhalen.

Het lijkt er op dat Microsoft de lijst pas vrijgeeft, nadat alle mediaaandacht is verslapt en ze er verder niets meer aan hebben. Af en toe heb ik het idee dat Microsoft eerst verifieert of die machine wel legaal Microsoft Windows draaien.

Peter
10-06-2013, 22:09 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.