Nieuws
image

Gevangen botnet bestudeerd in laboratorium

zondag 19 december 2010, 08:22 door Redactie, 2 reacties

Canadese en Franse onderzoekers hebben bewust drieduizend Windows XP machines met een bot besmet om de werking van een botnet te onderzoeken. Het experiment vond binnen een compleet afgesloten netwerk plaats en leverde interessante informatie op. De onderzoekers kozen voor de Waledac bot, die eerder dit jaar door Microsoft uit de lucht werd gehaald. Naast het infecteren van drieduizend virtuele Windows XP installaties op een cluster van 98 servers, werd ook het botnet command & control systeem gesimuleerd.

In het verleden is er wel onderzoek naar "live" botnets geweest, maar het hebben van een eigen botnet in een experimentele omgeving gaf de onderzoekers veel meer vrijheid. "Als je experimenteert op een live botnet, kun je een negatieve reactie van de eigenaar uitlokken die de geïnfecteerde machines kan beschadigen", zegt Pierre-Marc Bureau, onderzoeker bij anti-virusbedrijf ESET en onderdeel van het onderzoeksteam. "Je bestuurt dan ook potentieel de machines van onschuldige gebruikers, wat ethische en juridische problemen met zich meebrengt."

Bureau merkt op dat het niet eenvoudig was om de eigenaar van de 1 miljoen dollar kostende servercluster te overtuigen dat het een goed idee was om malware op de machines te installeren.

Encryptie
Eén van de interessante resultaten van het onderzoek laat de impact van encryptie op het verkeer tussen de bots en C&C-server zien. Veel botnets gebruiken zwakke encryptie, wat volgens experts kwam omdat de ontwerpers slechte programmeurs zijn. Maar het onderzoek toont aan dat dit een bewuste keuze is. "We ontdekten dat de C&C-server snel werd overbelast door de cryptografie. We begrepen dat ze bepaalde beslissingen moeten maken vanwege de zware belasting van een groot botnet."

Ook experimenteerden de onderzoekers met het toevoegen van valse bots aan het netwerk om zo het gedrag van het botnet te beïnvloeden. De onderzoekers kregen het voor elkaar om via deze aanval het botnet met het versturen van spam te laten stoppen. Bureau erkent dat de simulatie met drieduizend computers niet overeenkomt met een echt Waledac botnet, dat makkelijk uit 50.000 tot 100.000 machines bestond. "Nu we voor de eerste keer hebben aangetoond dat het mogelijk is, hoop ik dat de computermiddelen beschikbaar komen om meer te doen."

Reacties (2)
19-12-2010, 08:35 door Syzygy
Moeten ze wel een leuk logo voor op de deuren van het LAB bedenken zoals die van Bio Hazard .

Ik denk zelf aan een Rondje met daar in een golvend gekleurd Raampje of zoiets.

( o nee, die was te makkelijk en te laag)
20-12-2010, 09:13 door Anoniem
"Moeten ze wel een leuk logo voor op de deuren van het LAB bedenken zoals die van Bio Hazard ."

Bij labs waar men met mobiele virussen werkt zijn dergelijke voorzorgsmaatregelen daadwerkelijk nodig. Bij F-Secure ga je bijvoorbeeld een soort luchtsluis door, welke bedoeld is voor het blokken van WIFI en andersoortige draadloze communicatie, om zo het 'ontsnappen' van virussen uit het lab te voorkomen.

In tegenstelling tot een lab waar met gevaarlijke biologische virussen gewerkt wordt, hoef je natuurlijk geen speciaal pak aan, en niet in een ontsmettingsdouche bij het verlaten van de ruimte ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search