Vraagtekens over effectiviteit botnet-aanpak
Recentelijk kwamen verschillende operaties in het nieuws waarbij opsporingsinstanties claimden verschillende botnets uit de lucht te hebben gehaald, maar sommige experts vragen zich af hoe effectief dit soort acties zijn. Zo lieten Europol en de FBI begin juli weten het Shylock-botnet grotendeels te hebben uitgeschakeld.
Beveiligingsbedrijf Seculert meldt echter dat het dagelijks nog zo'n 10.000 Shylock-bots verbinding met een server van het bedrijf ziet maken. "Nu kunnen we dit niet vergelijken met het aantal van voor de operatie, maar het roept de vraag op wanneer een takedown van een botnet succesvol is?", zegt Aviv Raff. Hetzelfde geldt voor de operatie die de FBI tegen het GameOver Zeus-botnet uitvoerde.
Na de operatie verscheen er een nieuwe variant die zeer succesvol lijkt te zijn. Raff verwacht dat het slechts een kwestie van tijd is voordat de schade die het uitschakelen van het oude botnet veroorzaakte door de nieuwe variant ongedaan is gemaakt. Raff is niet de enige met vragen. Ook Thomas George van beveiligingsbedrijf Cyscon vraagt zich af wat het effect is geweest van de operatie tegen het Shylock-botnet, aangezien er in de berichtgeving al werd aangegeven dat een deel van de infrastructuur niet was uitgeschakeld.
Nuttig
Toch helpen de acties wel degelijk, stelt Carla Barata van Annubis Networks. "Het is verleidelijk om te denken dat het uitschakelen van botnets zinloos is. Tenslotte wordt het verhaal van een uitgeschakeld botnet vaak opgevolgd door één waarin wordt gesteld dat het botnet gedeeltelijk of weer volledig actief is." Volgens Barata is het vrij normaal dat botnetbeheerders hun botnet weer in handen weten te krijgen.
"Dit maakt pogingen om de botnets uit te schakelen geen verspilde moeite. Alles dat wordt gedaan om te voorkomen dat criminelen het botnet kunnen gebruiken, ook al is het tijdelijk, is een goed iets." Ze waarschuwt dat de uitschakeling van een botnet meestal niet het einde is. Bedrijven waarvan computers onderdeel van een uitgeschakeld botnet zijn moet zich dan ook nog steeds zorgen maken, aangezien het botnet zomaar weer actief kan worden.
Dat hangt er heel erg vanaf of je je alleen richt op het ontmantelen van de botnet infrastructuur, of ook op het opsporen en vervolgen van betrokken cybercriminelen. Zolang je het laatste niet doet, schrikt het weinig af, en dan is de kans dat ze het botnet weer weten op te bouwen of te vervangen vrij groot.
"Volgens Barata is het vrij normaal dat botnetbeheerders hun botnet weer in handen weten te krijgen."
Indien de botnetbeheerders worden opgepakt, en opgesloten, dan is die kans een stuk kleiner.
Het aanvallen van het business model van de criminelen, waardoor ze weer geld, tijd en moeite moeten steken in het herstellen van hun infrastructuur ? Zolang je de crimineel niet in handen weet te krijgen, lijkt die aanpak mij zinnig.
Wat wel helpt is criminelen opsporen en achter tralies zetten in plaats van symptoombestrijding die leidt tot een kanker van nog meer malware.
Het is heel simpel: botnet neerhalen -> veel meer malware -> veel meer besmettingen.
De vigilante neigingen moeten worden bedwongen voor meer intelligente wel werkende oplossingen.
Je valt hun businessmodel niet aan. Je zet ze wel aan tot innovatie en dieper wegkruipen. En het zorgt voor veel meer besmettingen met bots, en dat zorgt weer voor gigantische blacklists die niet meer alles detecteren. Het zorgt ook voor veel meer malware en veel tijd verloren door onschuldige slachtoffers.
Het is overigens niet hun infrastructuur, het is misbruik van de infrastructuur van slachtoffers.
Wat wel helpt is criminelen opsporen en achter tralies zetten in plaats van symptoombestrijding die leidt tot een kanker van nog meer malware.
Het is heel simpel: botnet neerhalen -> veel meer malware -> veel meer besmettingen.
De vigilante neigingen moeten worden bedwongen voor meer intelligente wel werkende oplossingen.
Maar we leven in een connected world met veel plekken waar criminelen zich overal kunnen verbergen. Als we ze al kunnen identificeren, kunnen we ze nog niet arresteren.
Botnets zijn onderdeel van de wereld die we met zijn allen gemaakt hebben. Met het overhoop halen van een aantal van de grotere botnets is een enorme stap gemaakt in het terugdringen van spam. Niet voor altijd nee, het is een wapenwedloop.
Er is overigens geen relatie tussen het neerhalen van een botnet en de hoeveelheid malware. We zijn al lang in een toestand waarin de malware-bouwers full-time 'strijden' met de anti-malware-bouwers, Zie de analyses op onder andere de Virus Bulletin conferenties: malware maken is een zeer professionele industrie. Malware wordt voor veel geld verkocht en de malware bouwers produceren voor dat geld *dagelijks* vele nieuwe versies om de detectie weer een paar uur te omzeilen.
Er is een directe relatie tussen de hoeveelheid pogingen nieuwe botnets te bouwen en de hoeveelheid breed verspreidde malware. Iedere keer als er een botnet wordt neergehaald volgen malware spam runs.
Waar jij het over hebt is het herinfecteren van al geinfecteerde computers om zo anti-virus updates te omzeilen. Daar hebben weinig mensen behalve de reeds geinfecteerde computers last van.
Feit is en blijft dat botnets neerhalen niets goeds oplevert. Het vinden van de criminelen is niet zo moeilijk, er is veel intelligence beschikbaar. Het moet wel worden gebruikt en er moet internationaal politieonderzoek worden uitgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.