Drie grote 'McColo' botnets nog steeds in coma

De botnets Srizbi, Rustock en Mega-D zijn stilgevallen, schrijft Phil Hay op het weblog van security-bedrijf Marshal. Marshal houdt al geruime tijd de activiteiten van de grote botnets in de gaten. De botnets die werden aangestuurd vanaf de servers van McColo, waren samen goed voor zo'n 75 procent van alle spam die tot vorige week werd verstuurd.

80 miljard berichten per dag

Met name het uitschakelen van Srizbi heeft volgens Hay enorme gevolgen. Volgens FireEye had Srizbi zeker 450.000 computers geïnfecteerd. Onderzoek dat Marshal uitvoerde, laat zien dat een met Srizbi besmette pc zo'n 24.000 berichten per uur kan spammen. Dat betekent dat Srizbi - volgens een conservatieve schatting - in staat was tot het versturen van 60 tot 80 miljard berichten per dag.

Hay denkt dat het een kwestie van tijd is voordat Srizbi weer tot leven komt. Hij wijst op het botnet Mega-D dat eerder dit jaar ook tien dagen offline was, maar toch weer terugkwam. Dit weekend slaagden de beheerders van Srizbi er al in om in de korte tijd dat McColo weer even online was nieuwe opdrachten te sturen naar de bij het Srizbi-botnet aangesloten computers. Daarnaast beschikt Srizbi over een mechanisme waarmee het mogelijk is geïnfecteerde computers voortdurend te laten zoeken naar nieuwe command & control (c&c) servers.

Les voor botnetbeheerders

De verwachting is dat de beheerders van botnets zullen leren van het offline gaan McColo. Ze zullen het mechanisme aanpassen waarmee ze de zombies aansturen, zo verwacht Hay. "Ze kunnen bijvoorbeeld hun toevlucht nemen tot een veerkrachtiger peer-to-peer- of gelaagd model waarbij de controleservers worden verdeeld over een groot aantal hosts."

Een p2p-model voor botnets is overigens niet geheel nieuw. Eén van de succesvolste en meest innovatieve botnets ooit, Storm, gaf eerder al het 'goede' voorbeeld met een decentralisatiestrategie, ook wel fast flux genoemd.

Bron: Techworld.nl