Eind februari haalde Microsoft het Waledac botnet uit de lucht en binnen een aantal weken laat het weten wat het met de achtergebleven besmette machines doet. Dat zei Microsoft advocaat John Boscovich tijdens een bijeenkomst voor journalisten in Redmond. Boscovich is onderdeel van de Digital Crimes Unit (DCU), die samen met andere advocaten en onderzoekers misstanden en dreigingen op het web aanpakt.

"Mensen vragen altijd waarom Microsoft dit doet. Ten eerste is het goed voor onze klanten en dus onszelf, ten tweede is het het juiste om te doen", aldus de advocaat. "Je wilt dat de online wereld veilig is om zaken te doen." Het gaat daarbij om een symbiotisch relatie; wat goed is voor bedrijven is vaak ook goed voor de maatschappij. Microsoft heeft ook een eigen belang, aangezien bots en malware de reputatie van de softwaregigant beschadigen. "Er is altijd de associatie dat malware samenhangt met problemen in het besturingssysteem."

Botnets
Met name de bestrijding van botnets krijgt prioriteit, aangezien die de infrastructuur van veel criminele activiteiten vormen, zoals het versturen van spam en uitvoeren van DDoS-aanvallen. Vanwege het internationale karakter is het lastig om bots te bestrijden, zowel technisch als juridisch. De meeste landen hebben verschillende wetgeving als het gaat om cybercrime, wat onderzoek vaak bemoeilijkt. Reden voor Microsoft om te kijken of het mogelijk was een juridisch raamwerk met aanvullende technische tegenmaatregelen te ontwikkelen, dat het botnet-probleem zou kunnen oplossen.

De proef werd uitgevoerd op het Waledac, een botnet van middelgrote omvang. Dat was ook één van de redenen waarom Microsoft dit specifieke botnet koos. Tevens hadden academische en industriële partners van de DCU dit botnet uitgebreid bestudeerd. "Dat deed ons geloven dat we met dit botnet een grotere kans van slagen hadden", aldus Boscovich. Het gaat dan om de manier waarop het botnet werkte en communiceerde. Het gevolg was een tweeledige aanpak.

Reverse engineering
Waledac had een Command & Control kanaal, aangevuld met een soort P2P backup-mechanisme, in het geval de bot geen verbinding met bepaalde domeinen kon maken. De werking van dit P2P-netwerk was zo goed bestudeerd, dat onderzoekers van mening waren dat ze het konden ontregelen. Waledac paste verschillende anti-debugging trucs toe om reverse engineering te bemoeilijken, zoals onderzoekers van het Honey Project onlangs uitlegden. De analyse is nu ook online verschenen. "Door debugging tools op een slimme manier te gebruiken, kunnen we nog steeds de individuele stappen volgen en controleren", aldus onderzoeker Tillmann Werner.

De juridische aanpak was het werk van Boscovich. Hij onderzocht hoe domeinnamen werden geregistreerd en hoe het dispuut resolutie mechanisme van ICANN werkt, een Amerikaanse organisatie die bepaalt welke top level domeinen er bestaan. Als een domein wordt ontdekt dat foute dingen op het web doet, dan licht de registrar de registrant van de domeinnaam in. Vervolgens spelen er verschillende regels, zoals het aantal dagen waar binnen gereageerd moet worden. Al met al kan het weken duren voordat de klager over een domeinnaam uitslag krijgt wat er met de domeinnaam gebeurt. Tegen die tijd wordt de domeinnaam al niet meer gebruikt en begint het scenario weer van voor af aan.

Ex parte
Daarom wilde Microsoft controle over de domeinnamen van Waledac krijgen, zonder inmenging van andere partijen. "Maar het moest wel legaal gebeuren", aldus Boscovich. De softwaregigant maakte gebruik van Ex Parte, waarbij de rechter het bewijs van één partij aanhoort. Dat bewijs bestond uit 277 .com domeinnamen die Waledac gebruikte. Verisign, dat de .com domeinnamen beheert, zit in Virginia, wat ook een juridisch voordeel was. Microsoft overtuigde de rechter in Virginia dat de domeinnamen onderdeel van een botnet waren, waarop die een tijdelijke "restraining order" uitsprak, zonder dat de eigenaren van de domeinnamen werden ingelicht of gehoord. Daardoor konden in één keer alle domeinnamen uit de lucht worden gehaald.

Op hetzelfde moment van de juridische procedure, waren de academische partners bezig met het vergiftigen van de peer-tabel van het Waledac botnet. De bots kregen de opdracht om met een "sinkhole" verbinding te maken. Daardoor hadden de bots geen verbinding meer met het botnet en de botnetbeheerder. De uitspraak van de rechter kwam net op tijd, want ondertussen waren er 20 .com domeinnamen in China geregistreerd die niet onder het bevel van de rechter vielen, waardoor de hele operatie in gevaar kwam. Microsoft waarschuwde het Chinese CIRT, dat op tijd de nieuwe domeinnamen uit de lucht haalde.

Succesverhaal
"We weten dat het Waledac botnet niet meer wordt beheerd door de botnetbeheerders", zo liet een trotse Boscovich weten. "We denken dat we deze nieuwe aanpak kunnen herhalen." Daarnaast leverde de operatie waardevolle contacten met onderzoekers en academici op. Bij Operatie B49, zoals Microsoft het bestempelde, speelden ook Nederlandse autoriteiten een rol. Het ging in dit geval om de P2P-servers van Waledac die in Nederland waren ondergebracht en onder Nederlandse wetgeving werden uitgeschakeld.

Microsoft hoopt de tactiek ook op andere botnets toe te passen. Toch heeft de softwaregigant nog een verrassing. "De operatie is nog niet voorbij. In de komende weken hopen we het verhaal van Waledac te sluiten." De Command & Control structuur mag dan zijn uitgeschakeld, voldoende machines zijn nog steeds met de malware besmet. Microsoft voegde detectie van de bot aan de Malicious Software Removal Tool toe, maar het kan zijn er nog besmette machines zijn achtergebleven. "De Waledac operatie is nog niet voorbij en we zijn bezig met de laatste fase van de operatie hoe we het probleem van de besmette machines kunnen aanpakken. Ik verwacht dat als we de verschillende problemen hebben opgelost die ons hierbij wachten, we ook hier met een succesverhaal kunnen komen", liet Boscovich weten.