Kneber veel groter dan 2500 bedrijven en 75.000 pc's

Symbiotische relatie

De omvang van het Kneber botnet, zo'n 74.000 computers in 2500 verschillende bedrijven, heeft gisteren de meeste aandacht getrokken. Maar er is nog een ander interessant aspect aan de bevindingen van Cox. De resultaten van het onderzoek lijken erop te wijzen dat verschillende malware netwerken samenwerken in een symbiotische relatie, die elk botnet beschermt tegen ontmanteling.

Kneber is opgebouwd met behulp van de aloude ZeuS toolkit, die ondertussen zijn waarde ruimschoots heeft bewezen. Kneber is maar één voorbeeld van veel meer botnets die met deze toolkit is opgebouwd, en niet eens de grootste. Wat Cox nu ontdekt heeft is dat meer dan de helft van de 74.000 computers binnen Kneber ook geïnfecteerd is met andere malware, die andere C&C structuren hebben. Als een van deze netwerken wordt neergehaald, dan kan een ander worden gebruikt om het weer op te bouwen.

Zo verkrijgen de criminelen fault tolerance en zekerheid, als minstens twee verschillende botnetfamilie's samenwerken, zegt Cox in zijn analyse.

Samen met Waledac

In het geval van Kneber is meer dan de helft van de geïnfecteerde machines ook besmet met Waledac, dat spam verstuurt en peer-to-peer mechanismen gebruikt om zich te verspreiden. Cox kan niet met zekerheid zeggen dat er in dit geval echt sprake is van samenwerking, maar de aanwezigheid van beide soorten malware laat wel een interessante mogelijkheden zien: Als de ZeuS command & control infrastructuur wordt neergehaald, dan kan de eigenaar van het ZeuS botnet contact opnemen met degene die het Waledac botnet beheert. Vervolgens kan het Waledac botnet tegen betaling een ZeuS upgrade pushen waardoor het botnet weer operationeel wordt met nieuwe servers aan het hoofd, zegt Cox.

Een andere mogelijkheid is dat een enkele groep beide botnets beheert en de upgrades zelf pusht. "Vanuit een disaster recovery perspectief lijkt dat heel logisch", zegt Cox.

Bron: Techworld