Het aanpakken van botnets door securitybedrijven lijkt steeds meer een stunt te worden. Tijdens een presentatie op het RSA-congres nam CrowdStrike live duizenden zombies over van het beruchte botnet Kelihos.

Het concern had de afgelopen tijd het botnet in kaart gebracht en een parallelle infrastructuur aangelegd middels een sinkhole, een afslag zodat de zombie-computers niet met de c&c-servers van de cybercriminelen communiceren maar een 'afslag' nemen naar de server van CrowdStrike. De FBI en Shadowserver hebben meegewerkt aan de actie, meldt het Threat Post-blog van Kaspersky.

Botnetbeheer via p2p-proxies

De zombies van Kelihos communiceren niet rechtstreeks met c&c servers, maar via P2P-proxies. Zombies wisselen permanent lijsten uit met welke proxies en met welke proxies wel en geen contact te maken. CrowdStrike infiltreerde het netwerk en verspreidde een eigen lijst van IP-adressen zodat de zombies niet meer communiceerden met actieve proxies maar naar de sinkhole werden gestuurd.

In 2011 haalde Microsoft al Kelihos neer, maar die poging bleek niet succesvol, want het botnet kwam weer terug online in een volgende reïncarnatie. In februari 2012 werd een einde gemaakt aan Kelihos-B, maar ook dat betekende niet het einde, Kelihos-C was direct geboren en werd sterker dan ooit.

Bedrijven, blijf van botnets af

Ook het succes van CrowdStrike is beperkt. Weliswaar heeft het concern nu een aantal zombies uit de klauwen van Kelihos bevrijd, de infrastructuur van de cybercriminelen is nog ongeschonden. Op dezelfde conferentie stelde security-expert Limor Kessems van RSA dat bedrijven zich niet moeten inlaten met het neerhalen van botnets, zeker niet eigenhandig. De meeste van dergelijke operaties zijn vooral PR stunts en kunnen bestaand onderzoek van opsporingsdiensten schaden. Vorig jaar uitte Fox-IT vergelijkbare kritiek op Microsoft na het neerhalen van het Zeus-botnet.