'Microsoft schaadt strijd tegen botnets'
Met het oprollen van ruim 1400 Citadel-botnets heeft Microsoft een hoop schade veroorzaakt bij beveiligingsonderzoekers en beveiligingsbedrijven. Dat beweert de Zwitserse beveiligingsonderzoeker Roman Huessy. Vorige week voerde Microsoft 'Operation b54' uit, waarbij het van een rechter de controle over duizenden domeinnamen kreeg.
De Citadel-botnets gebruikten deze domeinnamen om met besmette computers, die onderdeel van de botnets waren, te communiceren. Toen de domeinnamen in handen van Microsoft kwamen, liet de softwaregigant ze naar een server van Microsoft wijzen. Vervolgens kunnen besmette gebruikers bijvoorbeeld worden gewaarschuwd.
Deze techniek wordt 'sinkholing' genoemd en wordt al geruime tijd door onderzoekers en beveiligingsbedrijven toegepast, zowel voor onderzoek als commerciële reden. De informatie die de sinkholes opleveren kan bijvoorbeeld worden verkocht. Na de actie van Microsoft ontdekte Huessy dat verschillende domeinnamen uit zijn sinkhole waren verdwenen.
Domeinen
Verder onderzoek wees uit dat ze allemaal naar een server van Microsoft wezen. "Microsoft had niet alleen kwaadaardige domeinen in beslag genomen die de cybercriminelen gebruikten om met Citadel besmette computers te besturen, maar ook Citadel-domeinen die al een tijd geleden door mij waren gesinkholed." De sinkhole-domeinen waren duidelijk herkenbaar, zegt de onderzoeker.
Huessy zag dat Microsoft meer dan 300 domeinnamen in beslag had genomen die al door de Zwitserse onderzoeker in een sinkhole waren geplaatst. Ook andere partijen en onderzoekers zagen hetzelfde beeld. In totaal zouden van de meer dan 4000 in beslag genomen domeinen er zo'n 1000 al gesinkholed zijn.
PR-campagne
Volgens de onderzoeker was het niet de eerste keer, aangezien Microsoft bij het aanpakken van Zeus-botnets vorig jaar hetzelfde deed. "Ik hoop dat Microsoft inmiddels beter zou weten, maar er lijkt niets veranderd te zijn." Sterker nog, Huessy is bang dat de criminelen nu hun botnets gaan aanpassen zodat ze lastiger zijn uit te schakelen.
Daarnaast kunnen organisaties zoals de Shadowserver Foundation duizenden eigenaren van besmette computers niet meer waarschuwen, omdat de domeinen die voor de sinkholes gebruikt werden door Microsoft in beslag zijn genomen.
"De hele actie had geen grote impact op Citadel, behalve dat de onderzoeksprojecten van verschillende onderzoekers en non-profit organisaties zijn verstoord. Operation b54 was volgens mij niet meer dan een PR-campagne voor Microsoft", besluit Huessy.
Huessy misschien wel, maar ik zie regelmatig toch lange lijsten met besmette machines. Al die lijsten komen niet van Microsoft, maar van allerlei andere onderzoekers die domeinen sinkholen. Van Microsoft zie ik af en toe een lijstje met adressen van een specifiek botnet, maar die dat is vaak al weken oud. Vooral met dynamische adressen is het dan amper nog mogelijk om de besmette computer te achterhalen.
Het lijkt er op dat Microsoft de lijst pas vrijgeeft, nadat alle mediaaandacht is verslapt en ze er verder niets meer aan hebben. Af en toe heb ik het idee dat Microsoft eerst verifieert of die machine wel legaal Microsoft Windows draaien.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
