Nieuws
image

'Groot botnet van miljoen computers is afsplitsing Tor-botnet'

maandag 11 november 2013, 11:42 door Redactie, 4 reacties

Een groot nieuw botnet dat begin oktober werd ontdekt en uit een miljoen computers bestaat is zeer waarschijnlijk een afsplitsing van het Mevade Tor-botnet. Dat melden onderzoekers van AnubisNetworks in een onlangs gepubliceerde analyse.

Het nieuwe botnet gebruikt een domein-generatie algoritme (DGA) om met de Command & Control (C&C)-servers verbinding te maken. In dit geval maakten de besmette computers verbinding met 21 willekeurige domeinnamen die op .su eindigen, het top-level domein (TLD) van de voormalige Sovjet-Unie.

Onderzoekers wisten het botnet te 'sinkholen', waarbij de besmette computers verbinding maken met een domein dat in handen van de onderzoekers is, in plaats van de botnetbeheerders. Binnen 24 uur werden 150.000 unieke besmette IP-adressen gemeten, wat uiteindelijk opliep tot 990.000 actieve infecties. De infecties bevinden zich over de hele wereld, behalve in China, wat de onderzoekers verbaasde.

Mevade

Uiteindelijk werd een IP-adres ontdekt dat volgens beveiligingsbedrijf Websense door het Mevade Tor-botnet wordt gebruikt. Dit botnet werd begin september ontmaskerd en bleek verantwoordelijk te zijn voor de mysterieuze groei van het aantal gebruikers van het Tor-anonimiseringsnetwerk. Via dit netwerk kunnen gebruikers onder andere hun IP-adressen verbergen en is het lastiger om de werkelijke locatie van een computer te achterhalen.

IP-adressen

De botnetbeheerders lieten de met Mevade besmette computers via het Tor-netwerk communiceren, waardoor het aantal Tor-gebruikers van een stabiele 600.000 zelfs de 4 miljoen passeerde. Op de dag dat de onderzoekers zagen hoe het nieuwe botnet verbinding met de .su domeinen maakte, begon het aantal gebruikers van het Tor-netwerk af te nemen.

Op dit moment is het aantal met één miljoen gedaald ten opzichte van begin oktober. Een verschil dat overeenkomt met het aantal IP-adressen die de onderzoekers met hun sinkhole-domein verbinding zagen maken. De onderzoekers vermoeden dan ook dat dit nieuwe botnet in werkelijkheid een afsplitsing van het oude Mevade-botnet is.

Het zou kunnen zijn dat het aan een nieuwe eigenaar is verkocht die zich in China bevindt. Dat zou ook verklaren waarom er geen infecties in China werden gemeten, omdat deze computers geen verbinding met de domeinen van de onderzoekers maken. Vooralsnog lijkt het erop dat het botnet alleen wordt gebruikt om naar de digitale valuta bitcoin te 'minen'.

Reacties (4)
11-11-2013, 12:30 door Anoniem
Ja dat moet te maken hebben met een crimineel in China!
Het heeft uiteraard niets te maken dat infecties in China niet bij Tor kunnen komen en dus ook geen update commando krijgen.

o_O
11-11-2013, 15:04 door 0101 - Bijgewerkt: 11-11-2013, 15:16
Het zou kunnen zijn dat het aan een nieuwe eigenaar is verkocht die zich in China bevindt. Dat zou ook verklaren waarom er geen infecties in China werden gemeten, omdat deze computers geen verbinding met de domeinen van de onderzoekers maken.
Als dit botnet eerst via Tor communiceerde hebben de bots in China toen simpelweg geen verbinding met de C&Cs kunnen maken omdat Tor in China geblokkeerd wordt. (De blokkade kan wel omzeild worden als er eerst handmatig een bridge wordt opgezocht & ingesteld)

Daarom hebben de bots (als er geïnfecteerde computers in China waren) ook geen update kunnen ontvangen die ze nu via automatisch gegenereerde domeinen laat communiceren.
11-11-2013, 15:16 door 0101
Op https://metrics.torproject.org/users.html?graph=userstats-relay-country&start=2013-08-13&end=2013-11-11&country=all&events=off#userstats-relay-country is inderdaad te zien dat de aantallen Tor-gebruikers aan het afnemen zijn, van bijna 5 miljoen in september tot 4 miljoen nu.
11-11-2013, 15:57 door [Account Verwijderd]
Door 0101:
Het zou kunnen zijn dat het aan een nieuwe eigenaar is verkocht die zich in China bevindt. Dat zou ook verklaren waarom er geen infecties in China werden gemeten, omdat deze computers geen verbinding met de domeinen van de onderzoekers maken.
Als dit botnet eerst via Tor communiceerde hebben de bots in China toen simpelweg geen verbinding met de C&Cs kunnen maken omdat Tor in China geblokkeerd wordt. (De blokkade kan wel omzeild worden als er eerst handmatig een bridge wordt opgezocht & ingesteld)

Daarom hebben de bots (als er geïnfecteerde computers in China waren) ook geen update kunnen ontvangen die ze nu via automatisch gegenereerde domeinen laat communiceren.
Heel goed opgemerkt.

OT: Op zich zou ik het niet zo heel erg vinden als ze op het tor netwerk zouden blijven werken, zolang ze ook relays en exit nodes zouden hosten op hun bots ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search