Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties

Bedrijven en isp's maken zich steeds meer zorgen over botnets en roepen om bescherming. De makers van beveiligingssoftware spelen op deze vraag in met het beschikbaar maken van nieuw gereedschap.

BotnetSymantec claimt dat zijn onlangs gelanceerde Endpoint Protection-oplossing nieuwe tools bevat om botnets effectief te kunnen detecteren. Volgens het beveiligingsbedrijf wordt de benodigde informatie uit zijn Global Intelligence Network gedestilleerd, waarbij wereldwijd 40.000 detectiepunten worden gebruikt. Door de informatie te bundelen, denkt Symantec de zogenaamde command and control centers van de botnets te kunnen detecteren, waardoor ge´nfecteerde pc's op een bedrijfsnetwerk makkelijker gevonden kunnen worden.

Tegenover InfoWorld vertelde Grant Geyer van Symantec dat het gevaar van botnets nog steeds groeiende is. In de eerste helft van 2007 zou het aantal besmette computers op vijf miljoen liggen. Daarmee is de hoeveelheid 'zombies' ten opzichte van dezelfde periode in 2006 met zeven procent gestegen.

Het grootste probleem bij het bestrijden van botnets is volgens Geyer dat de aansturingscentra steeds van lokatie veranderen. Gemiddeld zou het hoofdkwartier van een botnet om de vier dagen verhuizen naar een ander ip-adres. Daarnaast zouden de huidige ids-systemen onvoldoende in staat zijn om de meer geavanceerde botnets te kunnen detecteren. 'Als de enige aanwijzing voor een infectie is dat data via een bepaalde poort het netwerk verlaat, dan is de kans groot dat een ids dat niet ziet,' aldus Geyer. Het realtime en automatisch samenstellen van command center-blacklists zou dit probleem kunnen oplossen.

Ook het bedrijf Arbor, met isp's en grote bedrijven als voornaamste klanten, heeft zijn software voor realtime netwerkanalyse voorzien van botnetdetectoren. Het PeakFlow SP-pakket zou botnetaanvallen kunnen onderscheppen, nog voordat de eindgebruiker bereikt wordt. Door bij de toegang al een voorselectie te maken, kunnen providers volgens Arbor het aantal zombies op hun netwerk terugdringen.

Analisten onderkennen het groeiende gevaar van botnets. Andrew Jaquith van het onderzoeksbureau Yankee Group stelt dat het fenomeen botnet het meest acute maar ook het meest onderbelichte beveilingsprobleem van 2007 is, waar ook grote ondernemingen nog onvoldoende bewust van zijn. Hij vraagt de makers van beveilingssoftware dan ook om lage prijzen voor detectiesoftware te rekenen of de software zelfs gratis ter beschikking te stellen. Ook pleit Jaquith voor een andere houding van isp's. Zij zouden meer moeten gaan werken met whitelists: in plaats van al het dataverkeer klakkeloos op hun netwerken toe te laten, zouden zij alleen vertrouwde partijen moeten dulden.

Moderatie-faq Wijzig weergave

Reacties (21)

Bij mijn weten werken botnet detectoren alleen op bedrijfs- en ISP-niveau. Hoe kan een detector anders merken of er een aanval via een botnet gaande is? Immers worden er door iedere zombie slechts enkele poorten gebruikt om in de aanval deel te nemen. Echter in het groot, dus op bedrijfs- c.q. ISP-niveau , is te zien dat er enkele poorten door meerdere pc's in een kort tijdsbestek worden geopend.
Als ik ssh op poort 12345 wil laten draaien is dat my business en niet die van mijn ISP. Datzelfde geldt voor een webserver, etc etc. Een ISP kan nooit onderscheid maken tussen mijn IPSec tunnel en de encrypted messages die een botclient verstuurd (nouja ... kan wel natuurlijk, maar da's lastig vanwege de performance die nodig is om een grote hoeveelheid verkeer te filteren).
Enkel een poort openen en een SYN sturen zonder de teruggestuurde ACK te bevestigen en opnieuw een SYN sturen, zorgt voor een hoop half-open verbindingen die allemaal opgespaard worden door de aangevallen server. Het is dus niet altijd nodig om encrypted messages te versturen.

Dat de command and control centra regelmatig van IP veranderen lijkt mij een logische zaak, echter in de bestrijding van botnets is dit behoorlijk lastig. Het uitschakelen van botnets is alleen mogelijk wanneer de zombies zelf in de gaten krijgen dat zij een probleem veroorzaken. En dat zal dus via uitschakelen van de verbindingen met internet gebeuren, of enkel een VLAN die te bereiken is met een duidelijke uitleg over wat er aan de hand is en software en tips bevat hoe dit in de toekomst te voorkomen.
Met name aan de server kant zijn er voldoende technieken om tegen syn floods te beschermen mbv een syn proxy. Een beetje degelijke loadbalancer is daar van voorzien.

Deze stuurt zelf namens de server een syn-ack terug op de syn, en als deze geen ack ontvangt na een instelbare timeout waarde, dropt hij de half open verbinding.
Indien hij wel een ack ontvangt (en de sessie dus geestablished is) zet de loadbalancer de sessie door naar de (web)server. De loadbalancer is veel beter in staat zoveel half-open sessies te hanteren en heeft ook een lagere timeout waarde dan de default timeout op een server. Hierdoor heeft je server dus alleen volledig geestablishte connecties.

Het nadeel is wel dat je sessie wellicht wat delay ondervindt doordat hij nog doorgezet moet worden naar de server.

Er zijn ook technieken waar de syn gewoon naar de server wordt doorgezet, die dan zelf een syn-ack terug stuurt. De loadbalancer houdt dan de half open sessie in de gaten en indien er geen ack terug komt binnen instelbare timeout stuurt de loadbalancer een tcp reset namens de "client" die naar de server een connectie opzette.

Natuurlijk zijn er nog legio andere manieren van dos en ddos attacks die je hiermee niet af kan vangen.
Botnets als bv Toxbot worden beheerd via wisselende IRC kanalen. Ook de gebruikte servers wisselen, mocht het C&C center uitvallen dan zoeken de Bots automatisch het nieuwe C&C op.

Tevens was Toxbot zo intelligent om het botnet in groepen te verdelen, bijvoorbeeld groepen DDOS, Creditcard fraude, Password hacking etc. Elke groep had een eigen C&C, aardig risico beperkend dus. Bots konden remote aan andere groepen worden toegewezen wanneer dat noodzakelijk was... Veel Botnets werken op deze manier.

[Reactie gewijzigd door S1W op 5 oktober 2007 14:09]

IPv6 lost toch deze problemen op hoop ik?
Lijkt me moeilijk op te lossen met een nieuw protocol, bots zijn gewoon exe'tjes die draaien op iemand zijn PC (eventueel verborgen) die dan gewoon luisteren op een poort of in een IRC kanaal wachten op een command en daarna allemaal tegelijk een bepaald bestand gaan downloaden, of een server pingen waardoor hij 'offline' gehaald word omdat hij de load niet aan kan.
Een protocol kan niet kijken of iemand express een IRC kanaal joined of dat het een rootkit/bot is die op zijn PC draait lijkt me.
Het plan an sich lijkt me ok. Maar ik vraag me af of er werkelijk iets tegen te doen is als er nog miljoenen "digibeten" werkzaam blijven/hobbyen achter hun pc. (Wat hun goed recht is, begrijp me niet verkeerd).

Bovendien is detectiesoftware tot een bepaald punt handig, maar werkt het niet net zoals met een virus? Er moet eerst een virus uitkomen voor hij gedetectered kan worden (in principe). Zo blijf je een beetje achter de feiten aanlopen.

ik zet wel vraagtekens bij de whitelist van de isp. Als mijn pc op een botnet zit en data verstuurd/ontvangt, hoe weet mijn ISP dan dat het hier niet om een actie van mij maar om die van een botnet gaat? Beetje vaag lijkt mij...
ISPs moeten gewoon wat pro-actiever worden.

Er betaan al lang hardware routers (eventueel met ingebouwde ADSL/Kabel modem) die buiten het simpele NAT en firewall gebeuren ook IDS, IPS en anti-virus beveiligingen ingebouwd hebben.

Helaas zijn die dus een stuk duurder. Voorbeeld: http://www.hotbrick.com/produto.asp?tipo=2&codPro=52

Dat beschermd de digibeten dan tegen zichzelf. En anders een manier waarbij de gebruiker meer gepusht (dan wel ge´nformeerd) word, om een virus scanner te draaien (Kaspersky heeft een mooie online scanner) voordat ze worden toegelaten.
Zo moeilijk lijkt het mij niet hoor. Simpel gezegd kijk je gewoon naar de pakketjes en vergelijk je die met andere op je netwerk. Als er veel dezelfde pakketjes van verschillende computers komen lijkt het me duidelijk dat die systemen op een botnet zitten.

Maarja, dat denk ik dan hÚh!? Ik weet werkelijk niets hierover, maar dit lijkt mij een logische manier van analyseren en detecteren van botnets. (Natuurlijk is de onderliggende technologie veel geavanceerder, maar dit even om het logisch te houden!)

[Reactie gewijzigd door Cybergamer op 5 oktober 2007 18:55]

Oplossing voor de botnets: eerst een goed compressie algoritme over de data en daarna gebruik maken van encryptie.

Geen pakket lijkt meer hetzelfde. Gebruik je SSL, lijkt het nog onschuldig ook.
De echte schuldigen zijn moeilijk te vinden, en zullen steeds moeilijker te vinden zijn (zeker als ze staats-steun hebben).

Ik denk toch dat de uiteindelijke oplossing zal zijn om de "onschuldige" eigenaar van een bot keihard te straffen, bijv. door een minimale afsluiting van een week. Al die beroerde "digibeten" worden praktisch altijd bijgestaan door een lokale nerd, en die krijgt alle ellende over zich heen als dat gebeurt, en zal wel leren om de door hem of haar "ingerichte" PC's ook van een decente virus-scanner enz. te voorzien.

Niet-meewerkende providers (verschillende in Nederland sluiten al van zichzelf gebruikers af indien die bijv. een spam-golf veroorzaken) kunnen worden gedwongen door bijv. IP-ranges te blokkeren van een aantal belangrijke omgevingen (Microsoft, eBay, Google, ...).

Deze straf-maatregelen zijn natuurlijk wel te omzeilen, maar voor 99% van de gebruikers en providers zal het makkelijker/goedkoper blijken om de zaak voldoende te beveiligen.
Ik denk toch dat de uiteindelijke oplossing zal zijn om de "onschuldige" eigenaar van een bot keihard te straffen, bijv. door een minimale afsluiting van een week.
Theoretisch klinkt dat leuk, maar je moet mensen ook de mogelijkheden geven om hun rotzooi op te ruimen. Dus verbannen naar een apart VLAN waar ze alleen maar antivirus- en antispyware software kunnen downloaden is veel nuttiger.

Al die beroerde "digibeten" worden praktisch altijd bijgestaan door een lokale nerd, en die krijgt alle ellende over zich heen als dat gebeurt, en zal wel leren om de door hem of haar "ingerichte" PC's ook van een decente virus-scanner enz. te voorzien.
Als dat waar is moeten die lokale nerds maar eens een flinke schop onder hun noten krijgen.
Ook pleit Jaquith voor een andere houding van isp's. Zij zouden meer moeten gaan werken met whitelists: in plaats van al het dataverkeer klakkeloos op hun netwerken toe te laten, zouden zij alleen vertrouwde partijen moeten dulden.
Amenooitniet! Als ik dit goed begrijp zou dat de dood betekenen van internet zoals we dat nu kennen. Het is al erg genoeg dat een groot aantal ISP's poort 25 (SMTP) dicht heeft staan en/of dat veel mailhosts mail uit een 'home user' range weren.

Als ik ssh op poort 12345 wil laten draaien is dat my business en niet die van mijn ISP. Datzelfde geldt voor een webserver, etc etc. Een ISP kan nooit onderscheid maken tussen mijn IPSec tunnel en de encrypted messages die een botclient verstuurd (nouja ... kan wel natuurlijk, maar da's lastig vanwege de performance die nodig is om een grote hoeveelheid verkeer te filteren).

Overigens geloof ik niet dat deze maatregelen voldoende zijn. Het enige wat echt werkt is simpelweg een tang pakken en het glas doorknippen }>
Mooi nieuws en al, maar ik begrijp niet helemaal hoe ze de bron willen aanpakken.
Botnets gaan voornamelijk via IRC verkeer, en daar zijn genoeg middeltjes voor om niet ge´ndentificeert te worden.
Vroeger ja. Maar botnets verlaten IRC juist en gaan eigen -niet door IRC operators gecontroleerde- netwerken opzetten. Bijv Storm heeft z'n eigen p2p netwerk.
Volgens mij verwar je dat met IRC bots (robots). Geautomatiseerde hulpjes om zaken in je kanaal te regelen. Dit staat los van zogenaamde botnets waarbij gehackte computers tezamen misbruikt worden voor een groter doel, bijvoorbeeld een DDOS aanval.
Botnets worden vaak beheerd via een irc kanaal. Alle ge´nfecteerde zombies joinen een kanaal en reageren op commando's die in dat kanaal gegeven worden.
Nee hoor, veel botnet schijnen beheert te worden via IRC. Een bot meld zich aan op een channel en kunnen via die weg opdrachten krijgen.
Nee, IPv6 lost dit niet op.
Symantec heeft er inderdaad wel de juiste software voor.
Norton Anti-virus 2007 !!!!
Zo is er geen plaats meer om nog botnet te draaien ><

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True