image

Malware Hunter zoekt internet af naar botnetservers

dinsdag 2 mei 2017, 16:47 door Redactie, 5 reacties

Internetzoekmachine Shodan stond al bekend vanwege het indexeren van routers, ip-camera's, industriële systemen en andere online apparaten, maar vanaf vandaag wordt er ook actief naar botnetservers gezocht. Samen met beveiligingsbedrijf Recorded Future heeft Shodan een speciale crawler voor beveiligingsonderzoekers ontwikkeld die het internet afzoekt naar botnetservers.

Het gaat in dit geval om servers waarmee besmette computers worden aangestuurd. Door het vinden van dergelijke servers kunnen aanvalscampagnes worden gestopt. Op dit moment worden voor het vinden van deze servers vaak passieve methodes gebruikt, zoals honeypots en malware-analyse. Met "Malware Hunter", zoals de nieuwe crawler wordt genoemd, biedt Shodan een actieve aanpak.

Malware Hunter doet zich voor als een besmette computer die verbinding met de botnetserver probeert te maken. Aangezien het onbekend is waar de botnetserver zich bevindt zal de crawler bij elk ip-adres op internet aankloppen. Als de crawler een positieve reactie van het ip-adres terugkrijgt, gaat het om een botnetserver. Op deze manier kunnen servers en campagnes snel worden uitgeschakeld.

Het zoeken naar botnetservers kan er in sommige gevallen voor zorgen dat beveiligingssoftware op gescande netwerken en ip-adressen een waarschuwing geeft dat er een aanval plaatsvindt. Volgens Shodan worden er echter geen aanvallen uitgevoerd of verzoeken met kwaadaardige content verstuurd. In het geval software toch een waarschuwing geeft gaat het om een vals alarm dat wordt veroorzaakt doordat de software signatures voor uitgaand verkeer voor inkomend verkeer gebruikt.

Reacties (5)
03-05-2017, 09:04 door buttonius
Alweer een zelfbenoemde politieachtige club die het hele Internet middels port scans gaat afspeuren.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
03-05-2017, 10:31 door Anoniem
Door buttonius: ... Er is (natuurlijk) ook geen opt out voor die port scans.
ja, dat zouden die botnet herders ook wel fijn vinden ;)
03-05-2017, 11:47 door Anoniem
Door buttonius: Alweer een zelfbenoemde politieachtige club die het hele Internet middels port scans gaat afspeuren.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.

Als er alarmen bij je afgaan op simpele poortscans word het tijd om je alarmen te tunen :)
03-05-2017, 12:08 door Anoniem
De personen achter Shodan houden er sowieso wat onorthodoxe methoden op na..

Ze hebben in het verleden al eens een flink aantal nodes toegevoegd aan het NTP Pool Project om zodoende live IPv6 adressen te bemachtigen t.b.v. port-scans.. [1]

Ik zie de meerwaarde van deze 'service' niet in, daar serieuze herders hun zaken iets beter op orde hebben, kortom (geslaagde) clickbait.


[1] http://seclists.org/oss-sec/2016/q1/219
03-05-2017, 12:21 door Anoniem
Vanaf vandaag wordt er ook actief naar botnetservers gezocht.

Waarom klinkt dit zo illegaal?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.