Securitybedrijven pakken botnets aan

Bedrijven en isp's maken zich steeds meer zorgen over botnets en roepen om bescherming. De makers van beveiligingssoftware spelen op deze vraag in met het beschikbaar maken van nieuw gereedschap.

Botnet Symantec claimt dat zijn onlangs gelanceerde Endpoint Protection-oplossing nieuwe tools bevat om botnets effectief te kunnen detecteren. Volgens het beveiligingsbedrijf wordt de benodigde informatie uit zijn Global Intelligence Network gedestilleerd, waarbij wereldwijd 40.000 detectiepunten worden gebruikt. Door de informatie te bundelen, denkt Symantec de zogenaamde command and control centers van de botnets te kunnen detecteren, waardoor geïnfecteerde pc's op een bedrijfsnetwerk makkelijker gevonden kunnen worden.

Tegenover InfoWorld vertelde Grant Geyer van Symantec dat het gevaar van botnets nog steeds groeiende is. In de eerste helft van 2007 zou het aantal besmette computers op vijf miljoen liggen. Daarmee is de hoeveelheid 'zombies' ten opzichte van dezelfde periode in 2006 met zeven procent gestegen.

Het grootste probleem bij het bestrijden van botnets is volgens Geyer dat de aansturingscentra steeds van lokatie veranderen. Gemiddeld zou het hoofdkwartier van een botnet om de vier dagen verhuizen naar een ander ip-adres. Daarnaast zouden de huidige ids-systemen onvoldoende in staat zijn om de meer geavanceerde botnets te kunnen detecteren. 'Als de enige aanwijzing voor een infectie is dat data via een bepaalde poort het netwerk verlaat, dan is de kans groot dat een ids dat niet ziet,' aldus Geyer. Het realtime en automatisch samenstellen van command center-blacklists zou dit probleem kunnen oplossen.

Ook het bedrijf Arbor, met isp's en grote bedrijven als voornaamste klanten, heeft zijn software voor realtime netwerkanalyse voorzien van botnetdetectoren. Het PeakFlow SP-pakket zou botnetaanvallen kunnen onderscheppen, nog voordat de eindgebruiker bereikt wordt. Door bij de toegang al een voorselectie te maken, kunnen providers volgens Arbor het aantal zombies op hun netwerk terugdringen.

Analisten onderkennen het groeiende gevaar van botnets. Andrew Jaquith van het onderzoeksbureau Yankee Group stelt dat het fenomeen botnet het meest acute maar ook het meest onderbelichte beveilingsprobleem van 2007 is, waar ook grote ondernemingen nog onvoldoende bewust van zijn. Hij vraagt de makers van beveilingssoftware dan ook om lage prijzen voor detectiesoftware te rekenen of de software zelfs gratis ter beschikking te stellen. Ook pleit Jaquith voor een andere houding van isp's. Zij zouden meer moeten gaan werken met whitelists: in plaats van al het dataverkeer klakkeloos op hun netwerken toe te laten, zouden zij alleen vertrouwde partijen moeten dulden.

IT-banen

Reacties (21)

Arthas 5 oktober 2007 17:35

Bij mijn weten werken botnet detectoren alleen op bedrijfs- en ISP-niveau. Hoe kan een detector anders merken of er een aanval via een botnet gaande is? Immers worden er door iedere zombie slechts enkele poorten gebruikt om in de aanval deel te nemen. Echter in het groot, dus op bedrijfs- c.q. ISP-niveau , is te zien dat er enkele poorten door meerdere pc's in een kort tijdsbestek worden geopend.

Als ik ssh op poort 12345 wil laten draaien is dat my business en niet die van mijn ISP. Datzelfde geldt voor een webserver, etc etc. Een ISP kan nooit onderscheid maken tussen mijn IPSec tunnel en de encrypted messages die een botclient verstuurd (nouja ... kan wel natuurlijk, maar da's lastig vanwege de performance die nodig is om een grote hoeveelheid verkeer te filteren).

Enkel een poort openen en een SYN sturen zonder de teruggestuurde ACK te bevestigen en opnieuw een SYN sturen, zorgt voor een hoop half-open verbindingen die allemaal opgespaard worden door de aangevallen server. Het is dus niet altijd nodig om encrypted messages te versturen.

Dat de command and control centra regelmatig van IP veranderen lijkt mij een logische zaak, echter in de bestrijding van botnets is dit behoorlijk lastig. Het uitschakelen van botnets is alleen mogelijk wanneer de zombies zelf in de gaten krijgen dat zij een probleem veroorzaken. En dat zal dus via uitschakelen van de verbindingen met internet gebeuren, of enkel een VLAN die te bereiken is met een duidelijke uitleg over wat er aan de hand is en software en tips bevat hoe dit in de toekomst te voorkomen.

Dennizz @Arthas • 6 oktober 2007 09:45

Met name aan de server kant zijn er voldoende technieken om tegen syn floods te beschermen mbv een syn proxy. Een beetje degelijke loadbalancer is daar van voorzien.

Deze stuurt zelf namens de server een syn-ack terug op de syn, en als deze geen ack ontvangt na een instelbare timeout waarde, dropt hij de half open verbinding.
Indien hij wel een ack ontvangt (en de sessie dus geestablished is) zet de loadbalancer de sessie door naar de (web)server. De loadbalancer is veel beter in staat zoveel half-open sessies te hanteren en heeft ook een lagere timeout waarde dan de default timeout op een server. Hierdoor heeft je server dus alleen volledig geestablishte connecties.

Het nadeel is wel dat je sessie wellicht wat delay ondervindt doordat hij nog doorgezet moet worden naar de server.

Er zijn ook technieken waar de syn gewoon naar de server wordt doorgezet, die dan zelf een syn-ack terug stuurt. De loadbalancer houdt dan de half open sessie in de gaten en indien er geen ack terug komt binnen instelbare timeout stuurt de loadbalancer een tcp reset namens de "client" die naar de server een connectie opzette.

Natuurlijk zijn er nog legio andere manieren van dos en ddos attacks die je hiermee niet af kan vangen.

S1W 5 oktober 2007 14:07

Botnets als bv Toxbot worden beheerd via wisselende IRC kanalen. Ook de gebruikte servers wisselen, mocht het C&C center uitvallen dan zoeken de Bots automatisch het nieuwe C&C op.

Tevens was Toxbot zo intelligent om het botnet in groepen te verdelen, bijvoorbeeld groepen DDOS, Creditcard fraude, Password hacking etc. Elke groep had een eigen C&C, aardig risico beperkend dus. Bots konden remote aan andere groepen worden toegewezen wanneer dat noodzakelijk was... Veel Botnets werken op deze manier.

[Reactie gewijzigd door S1W op 24 juli 2024 02:52]

g4wx3 5 oktober 2007 14:28

IPv6 lost toch deze problemen op hoop ik?

Martijnc @g4wx3 • 5 oktober 2007 14:37

Lijkt me moeilijk op te lossen met een nieuw protocol, bots zijn gewoon exe'tjes die draaien op iemand zijn PC (eventueel verborgen) die dan gewoon luisteren op een poort of in een IRC kanaal wachten op een command en daarna allemaal tegelijk een bepaald bestand gaan downloaden, of een server pingen waardoor hij 'offline' gehaald word omdat hij de load niet aan kan.
Een protocol kan niet kijken of iemand express een IRC kanaal joined of dat het een rootkit/bot is die op zijn PC draait lijkt me.

Verwijderd 5 oktober 2007 13:48

Het plan an sich lijkt me ok. Maar ik vraag me af of er werkelijk iets tegen te doen is als er nog miljoenen "digibeten" werkzaam blijven/hobbyen achter hun pc. (Wat hun goed recht is, begrijp me niet verkeerd).

Bovendien is detectiesoftware tot een bepaald punt handig, maar werkt het niet net zoals met een virus? Er moet eerst een virus uitkomen voor hij gedetectered kan worden (in principe). Zo blijf je een beetje achter de feiten aanlopen.

ik zet wel vraagtekens bij de whitelist van de isp. Als mijn pc op een botnet zit en data verstuurd/ontvangt, hoe weet mijn ISP dan dat het hier niet om een actie van mij maar om die van een botnet gaat? Beetje vaag lijkt mij...

Verwijderd @Verwijderd • 5 oktober 2007 19:50

ISPs moeten gewoon wat pro-actiever worden.

Er betaan al lang hardware routers (eventueel met ingebouwde ADSL/Kabel modem) die buiten het simpele NAT en firewall gebeuren ook IDS, IPS en anti-virus beveiligingen ingebouwd hebben.

Helaas zijn die dus een stuk duurder. Voorbeeld: http://www.hotbrick.com/produto.asp?tipo=2&codPro=52

Dat beschermd de digibeten dan tegen zichzelf. En anders een manier waarbij de gebruiker meer gepusht (dan wel geïnformeerd) word, om een virus scanner te draaien (Kaspersky heeft een mooie online scanner) voordat ze worden toegelaten.

Cybergamer @Verwijderd • 5 oktober 2007 18:53

Zo moeilijk lijkt het mij niet hoor. Simpel gezegd kijk je gewoon naar de pakketjes en vergelijk je die met andere op je netwerk. Als er veel dezelfde pakketjes van verschillende computers komen lijkt het me duidelijk dat die systemen op een botnet zitten.

Maarja, dat denk ik dan héh!? Ik weet werkelijk niets hierover, maar dit lijkt mij een logische manier van analyseren en detecteren van botnets. (Natuurlijk is de onderliggende technologie veel geavanceerder, maar dit even om het logisch te houden!)

[Reactie gewijzigd door Cybergamer op 24 juli 2024 02:52]

The Zep Man

Privacy
Netwerk en systeembeheer
Hackers
Beveiliging
Malware

@Cybergamer • 6 oktober 2007 09:15

Oplossing voor de botnets: eerst een goed compressie algoritme over de data en daarna gebruik maken van encryptie.

Geen pakket lijkt meer hetzelfde. Gebruik je SSL, lijkt het nog onschuldig ook.

mvdejong 5 oktober 2007 15:03

De echte schuldigen zijn moeilijk te vinden, en zullen steeds moeilijker te vinden zijn (zeker als ze staats-steun hebben).

Ik denk toch dat de uiteindelijke oplossing zal zijn om de "onschuldige" eigenaar van een bot keihard te straffen, bijv. door een minimale afsluiting van een week. Al die beroerde "digibeten" worden praktisch altijd bijgestaan door een lokale nerd, en die krijgt alle ellende over zich heen als dat gebeurt, en zal wel leren om de door hem of haar "ingerichte" PC's ook van een decente virus-scanner enz. te voorzien.

Niet-meewerkende providers (verschillende in Nederland sluiten al van zichzelf gebruikers af indien die bijv. een spam-golf veroorzaken) kunnen worden gedwongen door bijv. IP-ranges te blokkeren van een aantal belangrijke omgevingen (Microsoft, eBay, Google, ...).

Deze straf-maatregelen zijn natuurlijk wel te omzeilen, maar voor 99% van de gebruikers en providers zal het makkelijker/goedkoper blijken om de zaak voldoende te beveiligen.

Pietervs @mvdejong • 5 oktober 2007 15:51

Ik denk toch dat de uiteindelijke oplossing zal zijn om de "onschuldige" eigenaar van een bot keihard te straffen, bijv. door een minimale afsluiting van een week.
Theoretisch klinkt dat leuk, maar je moet mensen ook de mogelijkheden geven om hun rotzooi op te ruimen. Dus verbannen naar een apart VLAN waar ze alleen maar antivirus- en antispyware software kunnen downloaden is veel nuttiger.

Al die beroerde "digibeten" worden praktisch altijd bijgestaan door een lokale nerd, en die krijgt alle ellende over zich heen als dat gebeurt, en zal wel leren om de door hem of haar "ingerichte" PC's ook van een decente virus-scanner enz. te voorzien.
Als dat waar is moeten die lokale nerds maar eens een flinke schop onder hun noten krijgen.

Honolulu 5 oktober 2007 15:21

Ook pleit Jaquith voor een andere houding van isp's. Zij zouden meer moeten gaan werken met whitelists: in plaats van al het dataverkeer klakkeloos op hun netwerken toe te laten, zouden zij alleen vertrouwde partijen moeten dulden.

Amenooitniet! Als ik dit goed begrijp zou dat de dood betekenen van internet zoals we dat nu kennen. Het is al erg genoeg dat een groot aantal ISP's poort 25 (SMTP) dicht heeft staan en/of dat veel mailhosts mail uit een 'home user' range weren.

Als ik ssh op poort 12345 wil laten draaien is dat my business en niet die van mijn ISP. Datzelfde geldt voor een webserver, etc etc. Een ISP kan nooit onderscheid maken tussen mijn IPSec tunnel en de encrypted messages die een botclient verstuurd (nouja ... kan wel natuurlijk, maar da's lastig vanwege de performance die nodig is om een grote hoeveelheid verkeer te filteren).

Overigens geloof ik niet dat deze maatregelen voldoende zijn. Het enige wat echt werkt is simpelweg een tang pakken en het glas doorknippen

Liberteh 5 oktober 2007 13:48

Mooi nieuws en al, maar ik begrijp niet helemaal hoe ze de bron willen aanpakken.
Botnets gaan voornamelijk via IRC verkeer, en daar zijn genoeg middeltjes voor om niet geïndentificeert te worden.

Verwijderd @Liberteh • 5 oktober 2007 14:09

Vroeger ja. Maar botnets verlaten IRC juist en gaan eigen -niet door IRC operators gecontroleerde- netwerken opzetten. Bijv Storm heeft z'n eigen p2p netwerk.

ebia @Liberteh • 5 oktober 2007 13:56

Volgens mij verwar je dat met IRC bots (robots). Geautomatiseerde hulpjes om zaken in je kanaal te regelen. Dit staat los van zogenaamde botnets waarbij gehackte computers tezamen misbruikt worden voor een groter doel, bijvoorbeeld een DDOS aanval.

2xdehelft @ebia • 5 oktober 2007 14:02

Botnets worden vaak beheerd via een irc kanaal. Alle geïnfecteerde zombies joinen een kanaal en reageren op commando's die in dat kanaal gegeven worden.

paella @ebia • 5 oktober 2007 14:02

Nee hoor, veel botnet schijnen beheert te worden via IRC. Een bot meld zich aan op een channel en kunnen via die weg opdrachten krijgen.

Verwijderd 5 oktober 2007 14:36

Nee, IPv6 lost dit niet op.

Verwijderd 5 oktober 2007 14:12

Symantec heeft er inderdaad wel de juiste software voor.
Norton Anti-virus 2007 !!!!
Zo is er geen plaats meer om nog botnet te draaien ><

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (21)

Sorteer op:

Weergave: