De aanpak van botnets faalt. Criminelen zijn steeds vaker en beter in staat bestaande botnets in de lucht te houden of opnieuw op te bouwen bij de huidige aanpak. Het neerhalen van botnets door het in beslag nemen of isoleren van Command & Control-servers werkt niet meer, omdat criminelen een schaduw-infrastructuur achter de hand hebben die het koploze botnet weer van commando’s voorziet. Dat stelt Christian Rossow in zijn proefschrift “Using Malware Analysis to Evaluate Botnet Resilience”. De student aan de Vrije Universiteit van Amsterdam hoopt daarmee vandaag zijn Doctorsgraad te behalen.

Bestrijden botnets is krachteloos

Rossow heeft in de afgelopen jaren een aantal onderzoeken gedaan naar botnets en is tot de conclusie gekomen dat het bestrijden ervan tot op heden een vrij krachteloze bezigheid is geweest. Elk botnet dat als neergehaald werd geclaimd door opsporingsdiensten of door bedrijven als Microsoft, zijn sterker dan ooit weer uit de digitale as verrezen.

In zijn dissertatie komt Rossow tot de conclusie dat er verder onderzoek moet worden gedaan naar de mogelijkheden om geïnfecteerde pc’s van afstand op te schonen om zo te malware te wissen die de pc tot een bot maakt. Dat zou onder meer kunnen door via de overgenomen C&C-servers commando’s “te injecteren” in de bots.

Rossow erkent de discussie over de legitimiteit van deze vorm van “terughacken”, maar zegt daarbij dat het “mogelijk de enige manier is om ontwrichting van toekomstige botnets af te dwingen.” Ook moeten de eigenaren van de geïnfecteerde pc’s op “veilige en betrouwbare” manier worden gewaarschuwd.

Nieuw vervolgonderzoek gestart

De onderzoeker en zijn team zijn al bezig met een vervolg door twee botnets tegelijk te verstoren. De eerste wordt direct schade toegebracht, zegt Rossow. De tweede, die het eerste botnet helpt om zichzelf op te bouwen via malware-infecties, moet in zijn werking worden verstoord. Doel is te meten hoe de beide botnets zich weer opbouwen en met welke snelheid.

In de afgelopen jaren heeft het onderzoeksteam het systeem Sandnet gebouwd, dat “dynamisch” het netwerkgedrag van malware analyseert. In een jaar tijd is het netwerkgedrag van meer dan 100.000 malwaresamples bekeken. Sandnet is op basis van die informatie ingezet om de werking van de botnets nader te bestuderen en hoe de ingezette malware verandert met de tijd. Daarnaast weten de criminelen hun C&C-servers snel te verplaatsen, zo leerde het onderzoeksteam, vaak over meerdere landen.

P2P-botnets zijn zelfhelend

De laatste fase van het onderzoek richtte zich specifiek op P2P-botnets, zoals Zeus. Daarbij werden reverse engineering ingezet op de 12 meest actieve botnets en daarop werd in een lab-omgeving nieuwe sinkhole-technieken getest. Een aantal van die sinkholes zijn daarna ook in het echt door botnetbestrijders ingezet. “Maar wat we zagen is dat P2P-botnets hun weerstand tegen dergelijke bestrijding vergrootten door andere protocollen toe te passen als een soort zelfmedicatie.”

Bij BNR zegt Herbert Bos, hoogleraar cybersecurity aan de VU en een van de promotors van Rossow, dat de bestrijding van botnets niet meer binnen de wet mogelijk is. Vandaar het pleidooi van Rossow om te onderzoeken of er niettemin toch moet worden gekozen voor het binnendringen van besmette pc’s van burgers om die van afstand schoon te maken.