image

Zwitserse overheid kraakt domein-algoritme Tofsee-botnet

maandag 26 december 2016, 08:31 door Redactie, 2 reacties

Het Computer Emergency Response Team van de Zwitserse overheid (GovCERT) is erin geslaagd om het algoritme te kraken dat het Tofsee-spambotnet gebruikt voor het registreren van domeinen en heeft vervolgens de helft van alle domeinen die het botnet zou gaan registreren zelf geregistreerd.

Een actie die de werking van het botnet kan ondermijnen. Net als veel andere malware en botnets maakt het Tofsee-botnet gebruik van een 'domain generation algorithm' (dga). Een dga genereert domeinen waar besmette computers in de toekomst verbinding mee zullen maken om verdere instructies en updates te ontvangen. In het geval van het Tofsee-botnet werden er domeinen met een Zwitsers topleveldomein gegenereerd, eindigend op de extensie .ch. Iets wat zeer bijzonder is, aangezien er maar één ander malware-exemplaar bekend is dat dit doet.

Het Zwitserse GovCERT besloot daarom naar het dga te kijken dat het Tofsee-botnet gebruikt. Uiteindelijk slaagden onderzoekers erin het dga te kraken en konden zo zien welke domeinen het botnet voor het komende jaar zou gaan registreren. Het bleek om 520 domeinen eindigend op .ch en 520 domeinen eindigend op .biz te gaan. In samenwerking met SWITCH, verantwoordelijk voor de uitgifte van .ch-domeinen, werden vervolgens alle Zwitserse domeinen geregistreerd. Wat er met de .biz-domeinen zal gebeuren laat het Zwitserse GovCERT niet weten. In 2014 werd nog een valse e-mail van transportbedrijf TNT Express gebruikt om Nederlandse computers onderdeel van het Tofsee-botnet te maken.

Reacties (2)
28-12-2016, 17:34 door Anoniem
En ze hebben natuurlijk ook de malware zelf ontcijferd waardoor ze via de aangeschafte domeinnamen commands kunnen sturen naar het gehele botnet om de malware te deactiveren?
29-12-2016, 14:53 door Anoniem
Door Anoniem: En ze hebben natuurlijk ook de malware zelf ontcijferd waardoor ze via de aangeschafte domeinnamen commands kunnen sturen naar het gehele botnet om de malware te deactiveren?

Dat is een heel heikel punt voor vindbare 'good guys' met een onbeperkte middelen (oftewel : overheids of ISP/telco cert teams) : wordt je daardoor aansprakelijk voor alle schade/problemen die zich verder voordoen op de geinfecteerde PC ?

Wie wel eens gewerkt heeft met massale changes leert heel voorzichtig te worden - en nog meer als het een heel diverse populatie systemen betreft.
Hier is het een extreem diverse populatie die per definitie niet (meer) goed in elkaar zit - er zit minimaal 1 stuk malware op.
Waarvan de kwaliteit van het management/uninstall mechanisme misschien dubieus is.

De vraag heeft zich vaker voorgedaan bij overgenomen C&C systemen, en het antwoord op conferenties is gewoonlijk 'ons advocaten team heeft het heel sterk afgeraden' .

Praktisch gezien zou het ook nog kunnen dat de malware versleutelde (of gesignede) commando's verwacht , en die sleutel heb je niet als je geen actieve C&C server hebt kunnen overnemen en analyseren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.