Malware Hunter zoekt internet af naar botnetservers
Internetzoekmachine Shodan stond al bekend vanwege het indexeren van routers, ip-camera's, industriële systemen en andere online apparaten, maar vanaf vandaag wordt er ook actief naar botnetservers gezocht. Samen met beveiligingsbedrijf Recorded Future heeft Shodan een speciale crawler voor beveiligingsonderzoekers ontwikkeld die het internet afzoekt naar botnetservers.
Het gaat in dit geval om servers waarmee besmette computers worden aangestuurd. Door het vinden van dergelijke servers kunnen aanvalscampagnes worden gestopt. Op dit moment worden voor het vinden van deze servers vaak passieve methodes gebruikt, zoals honeypots en malware-analyse. Met "Malware Hunter", zoals de nieuwe crawler wordt genoemd, biedt Shodan een actieve aanpak.
Malware Hunter doet zich voor als een besmette computer die verbinding met de botnetserver probeert te maken. Aangezien het onbekend is waar de botnetserver zich bevindt zal de crawler bij elk ip-adres op internet aankloppen. Als de crawler een positieve reactie van het ip-adres terugkrijgt, gaat het om een botnetserver. Op deze manier kunnen servers en campagnes snel worden uitgeschakeld.
Het zoeken naar botnetservers kan er in sommige gevallen voor zorgen dat beveiligingssoftware op gescande netwerken en ip-adressen een waarschuwing geeft dat er een aanval plaatsvindt. Volgens Shodan worden er echter geen aanvallen uitgevoerd of verzoeken met kwaadaardige content verstuurd. In het geval software toch een waarschuwing geeft gaat het om een vals alarm dat wordt veroorzaakt doordat de software signatures voor uitgaand verkeer voor inkomend verkeer gebruikt.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
Als er alarmen bij je afgaan op simpele poortscans word het tijd om je alarmen te tunen :)
Ze hebben in het verleden al eens een flink aantal nodes toegevoegd aan het NTP Pool Project om zodoende live IPv6 adressen te bemachtigen t.b.v. port-scans.. [1]
Ik zie de meerwaarde van deze 'service' niet in, daar serieuze herders hun zaken iets beter op orde hebben, kortom (geslaagde) clickbait.
[1] http://seclists.org/oss-sec/2016/q1/219
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
