Malware Hunter zoekt internet af naar botnetservers
Internetzoekmachine Shodan stond al bekend vanwege het indexeren van routers, ip-camera's, industriële systemen en andere online apparaten, maar vanaf vandaag wordt er ook actief naar botnetservers gezocht. Samen met beveiligingsbedrijf Recorded Future heeft Shodan een speciale crawler voor beveiligingsonderzoekers ontwikkeld die het internet afzoekt naar botnetservers.
Het gaat in dit geval om servers waarmee besmette computers worden aangestuurd. Door het vinden van dergelijke servers kunnen aanvalscampagnes worden gestopt. Op dit moment worden voor het vinden van deze servers vaak passieve methodes gebruikt, zoals honeypots en malware-analyse. Met "Malware Hunter", zoals de nieuwe crawler wordt genoemd, biedt Shodan een actieve aanpak.
Malware Hunter doet zich voor als een besmette computer die verbinding met de botnetserver probeert te maken. Aangezien het onbekend is waar de botnetserver zich bevindt zal de crawler bij elk ip-adres op internet aankloppen. Als de crawler een positieve reactie van het ip-adres terugkrijgt, gaat het om een botnetserver. Op deze manier kunnen servers en campagnes snel worden uitgeschakeld.
Het zoeken naar botnetservers kan er in sommige gevallen voor zorgen dat beveiligingssoftware op gescande netwerken en ip-adressen een waarschuwing geeft dat er een aanval plaatsvindt. Volgens Shodan worden er echter geen aanvallen uitgevoerd of verzoeken met kwaadaardige content verstuurd. In het geval software toch een waarschuwing geeft gaat het om een vals alarm dat wordt veroorzaakt doordat de software signatures voor uitgaand verkeer voor inkomend verkeer gebruikt.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
Als er alarmen bij je afgaan op simpele poortscans word het tijd om je alarmen te tunen :)
Ze hebben in het verleden al eens een flink aantal nodes toegevoegd aan het NTP Pool Project om zodoende live IPv6 adressen te bemachtigen t.b.v. port-scans.. [1]
Ik zie de meerwaarde van deze 'service' niet in, daar serieuze herders hun zaken iets beter op orde hebben, kortom (geslaagde) clickbait.
[1] http://seclists.org/oss-sec/2016/q1/219
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
