Zwitserse overheid kraakt domein-algoritme Tofsee-botnet
Het Computer Emergency Response Team van de Zwitserse overheid (GovCERT) is erin geslaagd om het algoritme te kraken dat het Tofsee-spambotnet gebruikt voor het registreren van domeinen en heeft vervolgens de helft van alle domeinen die het botnet zou gaan registreren zelf geregistreerd.
Een actie die de werking van het botnet kan ondermijnen. Net als veel andere malware en botnets maakt het Tofsee-botnet gebruik van een 'domain generation algorithm' (dga). Een dga genereert domeinen waar besmette computers in de toekomst verbinding mee zullen maken om verdere instructies en updates te ontvangen. In het geval van het Tofsee-botnet werden er domeinen met een Zwitsers topleveldomein gegenereerd, eindigend op de extensie .ch. Iets wat zeer bijzonder is, aangezien er maar één ander malware-exemplaar bekend is dat dit doet.
Het Zwitserse GovCERT besloot daarom naar het dga te kijken dat het Tofsee-botnet gebruikt. Uiteindelijk slaagden onderzoekers erin het dga te kraken en konden zo zien welke domeinen het botnet voor het komende jaar zou gaan registreren. Het bleek om 520 domeinen eindigend op .ch en 520 domeinen eindigend op .biz te gaan. In samenwerking met SWITCH, verantwoordelijk voor de uitgifte van .ch-domeinen, werden vervolgens alle Zwitserse domeinen geregistreerd. Wat er met de .biz-domeinen zal gebeuren laat het Zwitserse GovCERT niet weten. In 2014 werd nog een valse e-mail van transportbedrijf TNT Express gebruikt om Nederlandse computers onderdeel van het Tofsee-botnet te maken.
Dat is een heel heikel punt voor vindbare 'good guys' met een onbeperkte middelen (oftewel : overheids of ISP/telco cert teams) : wordt je daardoor aansprakelijk voor alle schade/problemen die zich verder voordoen op de geinfecteerde PC ?
Wie wel eens gewerkt heeft met massale changes leert heel voorzichtig te worden - en nog meer als het een heel diverse populatie systemen betreft.
Hier is het een extreem diverse populatie die per definitie niet (meer) goed in elkaar zit - er zit minimaal 1 stuk malware op.
Waarvan de kwaliteit van het management/uninstall mechanisme misschien dubieus is.
De vraag heeft zich vaker voorgedaan bij overgenomen C&C systemen, en het antwoord op conferenties is gewoonlijk 'ons advocaten team heeft het heel sterk afgeraden' .
Praktisch gezien zou het ook nog kunnen dat de malware versleutelde (of gesignede) commando's verwacht , en die sleutel heb je niet als je geen actieve C&C server hebt kunnen overnemen en analyseren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
