Nieuw methode voor bestrijden botnets

29-03-2011,15:01 doorRedactie

Onderzoekers hebben een nieuwe manier ontwikkeld voor het detecteren van botnets die de Fast-Flux DNS-techniek gebruiken. Bij deze techniek generen de bots willekeurige domeinnamen waar ze vervolgens verbinding mee maken. De botnetbeheerder registreert één van deze domeinen om met de bots te communiceren. Onderzoekers proberen vaak de malware te reverse-engineeren om het algoritme te achterhalen en de domeinnamen eerder dan de botnetbeheerder te registreren.

De manier die onderzoekers van de Texas A&M Universiteit hebben ontwikkeld, kijkt naar het patroon en de verspreiding van alfabetische karakters in een domeinnaam om te bepalen of het kwaadaardig of legitiem is. Zodoende kan men door het botnet gegenereerde domeinnamen herkennen. "Onze methode analyseert alleen DNS-verkeer en is daarom eenvoudig schaalbaar voor grote netwerken", zegt professor Reddy Runyon. "Het kan voorheen onbekende botnets detecteren door een klein gedeelte van het netwerkverkeer te analyseren."

700 lekken in doorsnee Windows 7 pc

Botnet eliminatie scheelt 19 miljard spamberichten per dag

Reacties

29-03-2011,

16:02 door

Anoniem

+1 Rating:

Quote deze reactie | Reactie niet OK

Dit is geen Fast-Flux. Bij Fast-Flux beheer je als botnet master in principe je eigen nameservers, zodat je constant andere gekraakte machines aan kunt wijzen als botnet controller. Het maakt het voor onderzoekers naar het botnet dan heel lastig om de echte controller te vinden. Als je eindelijk een gekraakte machine hebt onderzocht, zit de controller al weer ergens anders.

Dit is single-flux. Je hebt ook nog double-flux en daarbij wisselt ook de nameserver regelmatig van plek cq. IP adres. Dat maakt het nog moeilijker, omdat je dan ook de nameservers niet kunt vinden. Als je die namelijk te pakken hebt kunnen nemen, kun je alle bots naar de door jou gewenste controller gaan. Met double-flux lukt je dat dus ook niet. Je kunt misschien wel een nameserver vinden, maar dan wordt de verwijzing naar nameserver gewijzigd in de database van de registry en zit je met een onbruikbaar systeem.

De besproken wijze om botnets te vinden die random domeinen gebruiken is misschien bruikbaar. Het nadeel hiervan is wel dat je dan moet meten tussen de machine van de eindgebruiker en de nameserver die hij gebruikt. Dat zal in de meeste gevallen die van de provider zijn. Als je buiten het netwerk van de provider gaat kijken, zie je niets anders dan dat iemand bij de provider een vreemd domein opvraagt.

Dit is dus eigenlijk een uitbreiding op wat er nu al gebeurt op bepaalde nameservers. Omdat me weet wanneer welke domeinen door Conficker gebruikt worden, kan een analyse van de vragen aan de nameserver bepaald worden of een machine besmet is. En zelfs in dit geval, waarbij de domeinen bekend zijn, is er geen systeem dat meer dan 80% betrouwbaarheid geeft. De meeste domeinen die ik langs zie komen, zitten op 30% tot 60% betrouwbaarheid.

Je ziet namelijk ook dat men steeds meer gebruik maakt van sociale netwerksites. Eigenlijk is dat niets nieuws, want IRC is ook een sociaal netwerksite. Dat wordt alleen nog maar zo weinig gebruikt dat een verbinding met een IRC server bij de meeste providers al als verdacht wordt beschouwd. Bezoek aan een bepaald profiel in facebook of inschrijving als follower van een bepaalde Twitter gebruiker, valt niet op. Ik denk dat dat de richting is waarin een aantal botnets gaat.

Peter

16:17 door

+0 Rating:

Wat hierboven staat =)

18:29 door

generen -> genereren

30-03-2011,

08:34 door

die kant uit, dat Is het al een tijd. ik noem comments op een blog.
belangrijker is, hoe voorkom je dat in je omgeving... ?
management gaat natuurlijk niet instemmen met het blokkeren van twitter of facebook...

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login