Kaspersky en SURFnet ontmantelen botnet

door

Politie

door

Nieuws - Microsoft heeft het Kelihos-botnet niet alleen neergehaald. Het Nederlandse SURFnet en Kaspersky hebben geholpen. Kaspersky bestuurt nu het hele botnet, maar mag de geïnfecteerde bots niet schoonmaken.

Kaspersky heeft naast Microsoft een grote rol in de aanpak van het botnet Kelihos, dat door Kaspersky Hlux wordt genoemd. De Russische leverancier van beveiligingssoftware heeft eerst met reverse engineering de malware ontleed, vervolgens het communicatieprotocol gekraakt en daarna tools ontwikkeld om het peer-to-peer netwerk van Kelihos aan te vallen.

Botnetbeheer kapen

Het botnet bestaat nog, maar staat nu onder controle van Kaspersky. Op de infrastructuur van SURFnet heeft Kaspersky afgelopen maandag een machine laten lopen die tegen de zogeheten peers in het botnet doet alsof hij een van de controllers is. Dat was zo effectief dat in enkele dagen 49.000 bots alleen maar communiceerden met deze namaakcontroller. Daardoor heeft Kaspersky in feite het commando over het botnet overgenomen. Microsoft had eerder de malafide adressen van de echte controllers uitgeschakeld.

In een blogpost laat Werner Tillmann van Kaspersky tot in de technische detail zien hoe dat in zijn werk is gegaan. Een dergelijke valse controller wordt sinkhole genoemd. Vast staat, zo zegt Tillmann, dat Kaspersky het botnet niet voor altijd in de sinkhole kan houden. “Dit is een tijdelijke oplossing, maar het uiteindelijke probleem blijft natuurlijk gewoon bestaan." Dus wat nu?

Schoonmaken mag niet

Tillmann weet wel een oplossing, maar zegt er een beetje verzuchtend bij dat het op afstand schoonmaken van besmette computers geen optie is. “We weten hoe het updateproces van de bots in zijn werk gaat. We zouden die kennis kunnen gebruiken om onze eigen update uit te brengen die de infectie verwijdert en zich daarna zelf vernietigt. Maar dat zou illegaal zijn in sommige landen en dus blijft dit een theoretische oplossing."

Ondertussen nemen de besmettingen al wel af. Dat is te danken aan de Malicious Software Removal Tool van Microsoft waar de bot aan is toegevoegd. Het aantal ip-adressen dat contact maakt met de sinkhole loopt sterk terug, zegt Tillman. Van de 49.000 ip-adressen zijn er na 16 uur nog 22.693 over.

Ondertussen worden de isp's in de landen waar de besmettingen voorkomen ingelicht. Zij moeten dan hun klanten erop wijzen dat ze besmet zijn. In Nederland helpt SURFnet daaraan mee, zegt Rogier Spoor van SURFnet. “Wij hebben al eerder samengewerkt met de betreffende securityonderzoeker, Tillmann Werner", zegt Spoor. “Hij heeft ons gevraagd of we wilden meehelpen. Overigens hebben wij een vrij bescheiden rol in het geheel. We helpen nu wel mee met het informeren van isp's waarvan besmette ip-adressen gevonden zijn."

Nog steeds gevaar voor OS X

Securityleverancier Sophos geeft ondertussen tegengas voor de melding van Microsoft dat met de uitschakeling van het botnet ook ingegrepen is in de verspreiding van de Mac Defender malware. “De verdwijning van Mac Defender is eerder het resultaat van de arrestatie van Pavel Vabrevsky door de FBI", schrijft Sophos op zijn site.

Het bedrijf zegt erbij dat er alleen al deze week twee nieuwe trojans zijn uitgekomen die mikken op Mac OS X. Die malware heeft zich gevoegd bij andere botnets. Deze Trojaanse paarden zijn door cybercriminelen te gebruiken om gevoelige data te stelen. De ene vermomt zich als een PDF-bestand, de ander als Flash Player-updater.

Aanbevolen artikelen

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Consumerization Event: Early Bird Actie
 
dagen
:
 
uren
:
 
minuten
:
 
seconden

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.