Spambotnet live tijdens conferentie uitgeschakeld
Een beveiligingsonderzoeker heeft gisteren live tijdens een conferentie in de Verenigde Staten het Kelihos-botnet uitgeschakeld. Het botnet werd gebruikt voor het versturen van farmaceutische spam en het stelen van Bitcoin portemonnees en inloggegevens. Het is inmiddels de derde poging om het botnet voor goed te laten verdwijnen. In 2011 was Microsoft de eerste die het probeerde.
In maart van vorig jaar trokken Kaspersky Lab, het CrowdStrike Intelligence Team, Dell SecureWorks en leden van het Honeynet Project ten strijde en wisten het botnet in vijf dagen te neutraliseren. Al gauw werd duidelijk dat de botnetbeheerders een derde variant van de bot hadden verspreid, genaamd Kelihos.C.
Dit keer was het wederom een onderzoeker van CrowdStrike die voor een volgepakte zaal tijdens de RSA conferentie de besmette computers liet 'sinkholen'. Hierbij maken de bots verbinding met een domein en server die in handen van beveiligingsbedrijven of onderzoekers is, in plaats van de botnetbeheerders.
Botnet
"Elke bot die met het sinkhole verbinding maakt, zou nooit meer met het botnet moeten praten", aldus Tillmann Werner van CrowdStrike. Hoe groot het derde Kelihos-botnet was is onbekend. Werner was ook betrokken bij de twee eerdere pogingen om het botnet uit te schakelen.
Het belangrijkste was volgens de onderzoeker het 'vergiftigen' van de peer-to-peer infrastructuur van het botnet, zodat de bots niet met het peer-to-peer-netwerk van de botnetbeheerders zouden communiceren.
Peer-to-Peer
Kelihos beschikte niet over een centrale command & control-infrastructuur, maar communiceerde via peer-to-peer. In plaats van het uitschakelen van één of meerdere C&C-servers, moesten de onderzoekers nu een tussenlaag van proxy-servers uitschakelen die met een centrale server ergens op in het internet communiceerden.
Werner ontwikkelde uiteindelijk een 'sinkhole daemon' die zich voordeed als een bot, maar in werkelijkheid de andere bots in het botnet een 'giftige lijst' met adressen stuurde waardoor ze de proxy-servers blokkeerden en verbinding met de sinkhole van het beveiligingsbedrijf maakten.
Microsoft zal de nieuwste Kelihos-versie aan de gratis en in Windows ingebedde Malicious Software Removal Tool (MSRT) toevoegen en die in maart verspreiden, zodat de malware ook van de besmette machines wordt verwijderd, zo meldt Michael Mimoso van Kaspersky Lab.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.