Eigenlijk zijn botnets meer kakkerlakken dan zombies. Je kunt ze onthoofden, zoals laatst gebeurde met een groot deel van de ZeuS zombies, maar het herstelt al snel weer als er nog ergens een stukje online blijft. Ondertussen ontwikkelen de toolkit ontwikkelaars van bijvoorbeeld ZeuS weer vrolijk nieuwe effectievere manieren om nog meer controle te krijgen.

Ook mindere goden kunnen tegenwoordig een geslaagde aanval uitvoeren met een botnet. Hackers werken tegenwoordig ook vaak samen met ervaren en georganiseerde criminelen om torenhoge stapels geld binnen te hacken ehhhh… harken…

1. ZeuS

Laten we beginnen met verruit de grootste van het moment. ZeuS is niet alleen een botnet, het is ook een trojan. De ZeuS toolkit kan voor een leuk bedrag aangeschaft worden. Het ZeuS botnet is in principe een botnet dat bank- en creditcardgegevens steelt onder andere door middel van keylogging. Maar het pakket is op allerlei uit te breiden, waaronder sinds kort zelfs de optie om een pc volledig over te nemen.

Het ZeuS botnet wordt meestal verspreid door drive-by downloads en phishing attacks. De eerste versies van ZeuS stammen al uit 2007, maar in 2009 kwam het botnet pas echt goed uit de verf. Een recent opgedoken telg van ZeuS toolkit is Kneber. Er werden toen heel snel ongeveer 75.000 computers besmet met Kneber.

Hoewel het ZeuS botnet zeker veerbaarheid heeft getoond bij de laatste tegenaanval met het neerhalen van een ZeuS ISP, lijkt het botnet toch nog steeds niet bepaald hersteld. Op ZeuS tracker is goed zichtbaar bij 'aantal online ZeuS files' dat er weliswaar wat pogingen lijken te zijn gedaan om weer op te krabbelen, maar dat de echt stijgende lijn nog niet terug gevonden is. Er gloort hoop aan de horizon.

2. Conficker

De grote hit van vorig jaar was natuurlijk Conficker en haar vele versies geavanceerde malware. Het botnet wordt ook wel Downup, Downadup en Kido genoemd. De naam Conficker is een phonetische spelling van ‘configure’. Ficker komt uit het Duits en de betekenis daarvan mag je zelf even opzoeken.

De Conficker worm werd in november 2008 voor het eerst ontdekt. Het gebruikt een lek in Windows en heeft voor het grootste aantal besmettingen gezorgd sinds de SQL Slammer.

Conficker werd vorig jaar hevig gevreesd, toen bleek dat de wormen per 1 april 50.000 websites per dag zouden gaan bezoeken. Gezien het aantal besmettingen en het feit dat onbekend was wat de malware precies ging doen, werd het breed in het nieuws uitgemeten. Uiteindelijk bleek het geen 1 april grap te zijn, maar het is nog altijd redelijk obscuur wat de worm nou precies wilde. Het botnet is uiteindelijk niet voor veel doelen gebruikt.

Wel heeft het verschillende negatieve effecten gehad op bedrijven. Zo moesten vliegtuigen van het Franse leger aan de grond blijven doordat vluchtplannen niet konden worden gedownload en veel voornamelijk Europese bedrijven waren besmet met de worm, waardoor de financiële schade door stillegging van de werkzaamheden groot was.

Kenmerkend aan Conficker was dat het nogal lastig was om van een systeem te verwijderen. Dit kwam onder meer doordat de worm telkens een andere versie van zichzelf downloadde, waardoor antivirussoftware veel moeite had met het opsporen van al die verschillende versies. De Conficker worm dwaalt hier en daar nog steeds rond op niet goed beveiligde systemen.

3. Torpig

Het Torpig botnet, ook wel Sinowal, Mebroot of Anserin genoemd, is er weer één in het rijtje van financiële datadiefstal. Het steelt creditcard- en bankgegevens en heeft in totaal naar het schijnt zo’n 500.000 van dat soort gegevens gestolen en teruggestuurd naar de eigenaren van het botnet.

Door de rootkit technologie te gebruiken, kon Torpig zich ongedetecteerd door antivirusprogramma’s de computers van slachtoffers binnenwurmen. Het programma was slim door zich in de Master Boot Record van een computer te nestelen en er werden meer dan 60 nieuwe versies per maand de wereld in gestuurd door malwareschrijvers. Via Flash en Quicktime beveiligingslekken kon het botnet allerlei financiële gegevens binnenhengelen.

Een groepje researchers van de University of California nam de controle over het botnet gedurende 10 dagen over. Ze haalden een tot dan toe ongeëvenaarde 70GB aan gestolen data binnen in die tijd. Men kreeg daarmee een goede inzage in de werking van het botnet.

4. Storm Worm

Dit ongewervelde beestje draaide op het hoogtepunt van zijn bestaan op 160.000 tot 50 miljoen computers. Dat is nogal een groot verschil en het laat goed zien hoe weinig er werkelijk bekend is over botnets en de gevolgen ervan in het algemeen. Ook beheerders en oprichters van botnets worden doorgaans niet gepakt. Dat is echter iets dat wel bekend is over deze worm. De makers kwamen uit St. Petersburg. De namen waren zelfs bekend, maar het was lastig om iets te doen vanwege het feit dat de daders uit dezelfde kringen kwamen als FSB-functionarissen en Poetin zelf.

De Storm Worm stak voor het eerst de kop op in januari 2007. Op een bepaald moment zou de Storm Worm verantwoordelijk zijn voor 8% van het totale hoeveelheid malware op Windows computers. Het botnet werd actief beschermd door de makers ervan. Beveiligingsbedrijven en onderzoekers die het botnet probeerden te onderzoeken werden bijvoorbeeld gericht aangevallen door de worm.

Het botnet zou in staat geweest zijn om met alle zombies gecombineerd meer berekeningen per seconde uit te voeren dan ‘s werelds destijds snelste supercomputer. De Storm worm kon overigens ook DDos aanvallen uitvoeren.

Toen Microsoft eenmaal een succesvolle manier had gevonden om de Storm Worm te bestrijden, besloten de makers ervan om delen van het botnet apart te verkopen.

5. Pushdo

Het Pushdo botnet is familie van, of draagt ook wel de namen Cutwail, Pandex en Mutant. De scheidslijn tussen de botnets is namelijk niet altijd helemaal duidelijk. Pushdo is een spam botnet, zoals het ooit grote Srizbi. Pushdo is momenteel nog steeds actief en behoort tot de meest constante botnets. Hoewel het botnet nooit de grootste is geweest op een bepaald moment, stond het altijd in de top 5. Natuurlijk is porno het geprefereerde middel om mensen mee te overtuigen. Het is echter niet aan te raden om op de behaarde borsten van Paris Hilton te klikken...

Het Pushdo botnet kan verrassend snel om zich heen grijpen. Het verstopt zich ook nog in het geheugen en deze malware heeft de vervelende neiging om zichzelf te updaten. Sommige ICT-ers die ermee te maken kregen werden er gierend gek van.

To DDos or not to DDos. Dat was een tijdje lang de vraag bij Pushdo. Het leek erop dat de spambot plotseling geëvolueerd was en DDossen als nieuwe hobby had. Hoewel sommige berichten uiteindelijk de link tussen Pushdo en DDos aanvallen van de hand wezen, is de moraal bij botnets in het algemeen nog steeds dat men niet zeker weet wat ze precies doen.

Zo heeft men in de meeste gevallen ook geen idee welke botnets er met elkaar verbonden zijn, of wie welke botnets beheert… Verscheidene doorgaans redelijk betrouwbare bronnen geven verschillende namen bij bepaalde botnets. Zo beweert de ene bron bijvoorbeeld dat Cutwail de spambot ofwel spamming engine is van het Pushdo botnet, terwijl een andere bron beweert dat het geen apart botnet is, maar ‘familie van’. Verwarring heerst nog altijd als het gaat om botnets en men tast vaak in het duister. Dat is de 'moraal' van het verhaal.

Bron: Techworld