image

Bezemwagen voor ontheemde bots in ontwikkeling

donderdag 25 september 2008, 11:38 door Redactie, 4 reacties

Wat gebeurt er met geïnfecteerde computers als hun Command & Control server uit de lucht is gehaald? Anti-botnet organisatie Shadowserver werkt aan een "bezemwagen" die zich voordoet als de verdwenen CnC-server. De server emuleert IRC en HTTP verkeer om de onthoofde botnets te besturen en tevens bots te vinden die besmet achterblijven. "Er zijn nog steeds veel machines die met deze "overleden" servers communiceren," zegt Shadowserver beveiligingsexpert Steven Adair.

De organisatie accepteert het verkeer van deze geïnfecteerde computers. "We kunnen de referrers zien en welke sites of pagina's geïnfecteerd zijn." De eigenaren van de bots kunnen dan gewaarschuwd worden. Bedrijven die weten dat er bots in hun netwerk staan kunnen het besmette verkeer voor analyse naar de server van Shadowserver doorsturen, hoewel Adair betwijfelt of bedrijven dit zullen doen.

Reacties (4)
25-09-2008, 12:06 door spatieman
De eigenaar is gepakt
Leve de nieuwe eigenaar
Zullen we maar zeggen dan.
25-09-2008, 16:16 door Anoniem
Als dit passief gebeurt is het prima, maar als er actief wordt ingebroken om allerlei opdrachten te draaien, dan is het een slecht idee.
25-09-2008, 23:52 door Anoniem
Staat daar dan na uren wachten aan de telefoon eindelijk een reparateur voor de deur, werkt je pc opeens weer gewoon ... Sja mevrouw computers doen soms zulke rare onverwachte dingen, niemand weet waar het door komt. Wilt u hier even tekenen? Bedankt, tot ziens!
24-01-2011, 16:46 door Anoniem
Leuk verhaaltje over de "bezemwagen" van die Shadowserver, maar tegenwoordig heb je zoiets als Domain Fluxing. (Domain Generation Algoritm) aan de kant van de bot zelf. Met andere woorden valt de huidige C&C server uit de lucht, heeft de botclient een bepaalde versleutelde algoritme die een nieuwe DNS naam genereert, hier probeert de bot dan zijn gegevens naartoe te sturen, lukt dit niet dan probeert het de volgende,etc etc. De botnet herders zijn op de hoogte van deze algoritme en wanneer een C&C uit de lucht is gehaald door bijvoorbeeld de autoriteiten.
Dan registreren ze vrolijk de volgende domeinnaam waar de bots automatisch verbinding mee zullen maken wanneer hun huidige C&C connectie uit de lucht is. En ik betwijfel of die "bezemwagen" ook is voorbereid op diverse op maat gemaakte en versleutelde DGA's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.