Malware Hunter zoekt internet af naar botnetservers
Internetzoekmachine Shodan stond al bekend vanwege het indexeren van routers, ip-camera's, industriële systemen en andere online apparaten, maar vanaf vandaag wordt er ook actief naar botnetservers gezocht. Samen met beveiligingsbedrijf Recorded Future heeft Shodan een speciale crawler voor beveiligingsonderzoekers ontwikkeld die het internet afzoekt naar botnetservers.
Het gaat in dit geval om servers waarmee besmette computers worden aangestuurd. Door het vinden van dergelijke servers kunnen aanvalscampagnes worden gestopt. Op dit moment worden voor het vinden van deze servers vaak passieve methodes gebruikt, zoals honeypots en malware-analyse. Met "Malware Hunter", zoals de nieuwe crawler wordt genoemd, biedt Shodan een actieve aanpak.
Malware Hunter doet zich voor als een besmette computer die verbinding met de botnetserver probeert te maken. Aangezien het onbekend is waar de botnetserver zich bevindt zal de crawler bij elk ip-adres op internet aankloppen. Als de crawler een positieve reactie van het ip-adres terugkrijgt, gaat het om een botnetserver. Op deze manier kunnen servers en campagnes snel worden uitgeschakeld.
Het zoeken naar botnetservers kan er in sommige gevallen voor zorgen dat beveiligingssoftware op gescande netwerken en ip-adressen een waarschuwing geeft dat er een aanval plaatsvindt. Volgens Shodan worden er echter geen aanvallen uitgevoerd of verzoeken met kwaadaardige content verstuurd. In het geval software toch een waarschuwing geeft gaat het om een vals alarm dat wordt veroorzaakt doordat de software signatures voor uitgaand verkeer voor inkomend verkeer gebruikt.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
Dat gaat weer een hoop extra ruis geven voor de mensen en instanties die hun netwerken en machines voorzien hebben van detectie van port scans in de hoop een aanval voor te kunnen zijn. Er is (natuurlijk) ook geen opt out voor die port scans.
Als er alarmen bij je afgaan op simpele poortscans word het tijd om je alarmen te tunen :)
Ze hebben in het verleden al eens een flink aantal nodes toegevoegd aan het NTP Pool Project om zodoende live IPv6 adressen te bemachtigen t.b.v. port-scans.. [1]
Ik zie de meerwaarde van deze 'service' niet in, daar serieuze herders hun zaken iets beter op orde hebben, kortom (geslaagde) clickbait.
[1] http://seclists.org/oss-sec/2016/q1/219
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.