P2P-botnets veel groter dan gedacht
De omvang van botnets die Peer-to-Peer (P2P) gebruiken om besmette computers aan te sturen is veel groter dan oorspronkelijk werd aangenomen. Dat blijkt uit onderzoek van Christian Rossow, Dennis Andriesse, Tillmann Werner, Brett Stone-Gross, Daniel Plohmann, Christian Dietrich en Herbert Bos. Rossow is een onderzoeker aan de Vrije Universiteit van Amsterdam.
De onderzoekers wilden zien hoe groot P2P-botnets in werkelijkheid zijn en hoe ze uitschakeling door politie en opsporingsdiensten weten te voorkomen. Gecentraliseerde botnets die via een Command & Control-server worden aangestuurd zijn namelijk veel eenvoudiger uit de lucht te halen dan P2P-botnets, aangezien de centrale server de achilleshiel is.
P2P-botnets zijn veel veerkrachtiger omdat ze geen 'single point of failure' hebben, aldus de onderzoekers. Die presenteerden hun onderzoek (PDF) tijdens het IEEE Symposium over Security en Privacy in San Francisco. In totaal ontdekten de onderzoekers 11 actieve P2P-botnets, waarvan er een aantal al jaren bestaan.
Omvang
Een veel gebruikte tactiek om de omvang van P2P-botnets te meten is door de lijst met 'peers' van bekende bots op te vragen en vervolgens van de ene naar de andere besmette computer te gaan, totdat alle computers zijn geteld. In werkelijkheid blijkt dat deze methode zeer onnauwkeurig is en er een groot aantal geïnfecteerde machines wordt gemist.
De onderzoekers wisten hun eigen systemen in de P2P-botnets te krijgen. Deze systemen deden actief aan de communicatie tussen de besmette computers mee en wisten zo alle bots te tellen. Zo bleek dat het Sality-botnet niet uit 22.000 bots te bestaan, zoals de crawler vond die door de lijst met peers ging, maar uit meer dan 900.000 computers.
De populatie werd met een factor 110 onderschat. De crawlers hebben vooral problemen met het tellen van besmette computers achter NATs, proxies en firewalls, waardoor ze tussen de 60% en 87% missen.
Uitschakelen
Ook werd er door de onderzoekers naar manieren gekeken om de botnets uit te schakelen. Een populaire methode is het 'sinkholen' waarbij wordt geprobeerd om de besmette computers verbinding met de computers van beveiligingsbedrijven of onderzoekers te laten maken. Sommige P2P-botnets, zoals Zeus en Sality, zijn bestand tegen dit soort aanvallen.
Zo gebruikt Sality een reputatiesysteem om te bepalen welke bots in de lijst met besmette computers worden toegelaten en gebruikt Zeus automatische blacklisting van sinkholing servers die te agressief communiceren. De onderzoekers concluderen dat er dringend behoefte is aan onderzoek naar alternatieve methoden om P2P-botnets aan te pakken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.