De actie tegen ruim 1400 Citadel-botnets die Microsoft vorige week uitvoerde was geen groot succes. De softwaregigant kreeg een gerechtelijk bevel waardoor het allerlei domeinnamen in beslag kon nemen die de botnets gebruiken om met besmette computers te communiceren. Een Citadel-botnet bestaat uit één of meerdere Command & Control (C&C)-servers.

Deze server sturen alle besmette computers in het botnet aan. De domeinen die Microsoft in beslag naam, liet het niet meer naar deze C&C-servers wijzen, maar naar de eigen server, wat ook wel sinkholing wordt genoemd. Daarbij werden ook domeinnamen in beslag genomen die van beveiligingsonderzoekers waren. Deze domeinnamen werden gebruikt om systeembeheerders en organisaties te waarschuwen die malware op hun netwerk hadden.

Impact
Het Britse anti-virusbedrijf Sophos besloot de impact van Microsoft's actie te onderzoeken. De virusbestrijder maakte een 'snapshot' van de Citadel-botnets die nu actief zijn en zocht naar kruisverwijzingen met 72 C&C-servers die op de lijst van Microsoft stonden.

51% van de 72 domeinen stonden niet op de lijst van Microsoft. Twintig procent van de Citadel-domeinen die wel Microsoft's lijst stonden wezen niet naar een sinkhole. "Dat suggereert dat het sinkholen niet succesvol was of dat de domeinen opnieuw in handen van de Citadel-botnetbeheerders zijn gekomen", zegt James Wyke van Sophos.

Configuratiebestand
Citadel maakt vanaf een besmette computer verbinding met de domeinen om een configuratiebestand met instructies te downloaden. Dit bestand bevat allerlei informatie, zoals waar gestolen gegevens naar toe moeten worden gestuurd en wat voor code er op bepaalde websites, zoals voor internetbankieren, moet worden geïnjecteerd.

Ook bevat het bestand een module die DNS verzoeken van besmette computers doorstuurt. Citadel gebruikt deze module voor het afvangen van verzoeken naar anti-virussites en beveiligingsupdates. Daardoor kunnen slachtoffers hun virusscanner niet bijwerken of security-tools downloaden om de malware te verwijderen.

Microsoft heeft deze functie van Citadel gebruikt om een nieuw configuratiebestand naar de besmette computers te sturen. Hierdoor kunnen de besmette computers weer securitywebsites bezoeken. Wyke merkt op dat veel sinkhole-operaties gestopt zijn met het versturen van nieuwe configuratiebestanden. "Mogelijk wegens juridische redenen."

De analist merkt op dat Microsoft bij de aanpak van het Citadel-botnet veel agressiever is dan voorheen. "Laten we hopen dat dit geen complicaties als gevolg heeft." Volgens één onderzoeker zou Microsoft in de configuratiebestanden een aanpassing hebben gemaakt waardoor Facebook.com naar een IP-adres van Microsoft wijst.

Effect
Ondanks de aanpak denkt Wyke niet dat de actie impact op Citadel zal hebben. "Het lijkt erop dat veel van de botnets niet zijn uitgeschakeld, en het herstellen van de botnets die waren uitgeschakeld zal niet lang duren." De analist maakt zich daarentegen wel zorgen over de methodes van Microsoft wat betreft nevenschade en het schenden van lokale wetgeving door instellingen op de computer zonder medeweten van slachtoffers te wijzigen.