Onderzoekers strooien zand in motor Storm-botnet

Onderzoekers van de Universiteit van Mannheim zijn er in geslaagd om het beruchte Storm-botnet van binnenuit te ontregelen. Met de opgedane kennis kunnen botnets bovendien effectiever worden bestreden.

Botattack (filmposter) Omdat botnets als Storm geen centraal aansturingspunt hebben en voor hun aansturing p2p-technieken gebruiken, is het bestrijden van dergelijke malware in de praktijk erg lastig. Hierdoor kunnen de beheerders nog steeds op grote schaal spam versturen of ddos-aanvallen uitvoeren. Onderzoekers aan de Universiteit van Mannheim hebben echter vat gekregen op Stormnet, een van de omvangrijkste botnets die momenteel actief zijn.

De Duitse onderzoekers plaatsten een aantal honey pots online om zo als peer in het botnet te worden opgenomen. Na de infiltratie werd het gebruikte p2p-protocol via reverse engineering geanalyseerd. Hoewel het de onderzoekers maanden kostte om de code te ontleden en de versleuteling te kraken, konden zij na verloop van tijd met grote nauwkeurigheid het aantal besmette systemen vaststellen. Uit het onderzoeksrapport blijkt dat tussen december 2007 en februari 2008 tussen de vijf- en veertigduizend peers tegelijkertijd op het botnet zichtbaar waren. Ongeveer een kwart van de besmette systemen bleek een Amerikaans ip-adres te hebben.

Na de geslaagde infiltratie- en analysefase werd de aanval verkozen. De onderzoekers slaagden er in om met zelfgeschreven code het updateproces van het botnet te verstoren. Hierdoor kunnen beveiligingstools als virusscanners beter grip krijgen op de normaliter continu veranderende Botnet-code. Daarmee tonen de onderzoekers aan dat een botnet van binnenuit te bestrijden is. Toekomstige malwarenetwerken kunnen met de opgedane kennis mogelijk aanmerkelijk beter worden aangepakt.

Reacties (44)

MikeyV 25 april 2008 19:10

Ik denk dat iedereen er op den duur beter van wordt. Kijk maar naar de volgende voordelen:

Er wordt minder bandbreedte verbruikt door de enorme hoeveelheid spam. Deze bandbreedte kan dan gebruikt worden voor surfen op het web, waardoor internet in zijn geheel wat sneller wordt.
Iedereen krijgt minder spammail binnen, daarmee dus minder kans op malware, virussen en alle andere troep die ongewenst is.
Door het op de lange duur ontbreken van botnets wordt internet weer een stukje veiliger, ook voor diegenen die geen computer-achtergrond hebben.

Nadelen? Die zullen er ook ongetwijfeld zijn! Misschien de volgende?

Je wordt minder geattendeerd op aantrekkelijk aanbiedingen voor Rolexen, Viagra en meer van dat leuke spul.
De Tweakers hebben minder te doen!

nu is die opsomming van die nadelen natuurlijk flauwekul, ik kan nu niet zo snel nadelen bedenken van het opruimen van botnets. Iemand anders misschien wel?

Verwijderd @MikeyV • 25 april 2008 20:04

Nadelen voor de ISP's die nog rare lage limieten stellen! Die kunnen zo minder geld vangen omdat iemand nu minder snel over z'n limiet zou gaan

Verwijderd 25 april 2008 21:20

erg interessant en goed leesbaar artikel, de storm bot maakt dus gebruik van het overnet netwerk (emule) en een aanpassing daarvan, stormnet.
Er is niet echt versleuteling omdat elke client een geheime code mee krijgt (die voor iedere bot hetzelfde is) en vervolgens challenge/response met een tier 2 peer (waar alle bots heen verwezen worden om commando's te krijgen via een bestandcode die gepost wordt in het netwerk (net als een echte download). de bots gaan dus op zoek naar commando's in plaats van ze te krijgen zoals een op irc of http gebasseerde bot).
Een andere versie met echte encryptie zou minder makkelijk te storen zijn.

Is weer eens een totaal andere manier om een netwerk uit te schakelen (anti virus werkt niet goed omdat de bot zichzelf om de zo veel minuten aanpast mbv een exe packer)
In de grafiekjes zie je het effect van het aantal peers meteen als ze 'aangevallen' worden.

Volgende stap is om achter de 2nd tier servers / makers aan te gaan

edit: wat ik me afvraag: is het niet heel makkelijk om updates te verspreiden in een netwerk door op een specifieke bestandshash een met RSA beveiligde (om kaping te voorkomen) update te plaatsen?

[Reactie gewijzigd door Verwijderd op 22 juli 2024 22:06]

SirNobax 25 april 2008 17:26

En het enige wat de 'eigenaar' van de computer merkt is dat hun zwaar verouderde antivirus programma een popupje geeft dat er iets verwijderd is, als ze uberhaupt al een antivirus programma draaien.

Anyway, een mooie zet, maar echt veel schiet je er op het lange termijn niet mee op. De hackers zullen in de toekomst gewoonweg veel beter hun code encrypten, waardoor het hele process vele malen langer zal gaan duren.

Klaus_1250 @SirNobax • 25 april 2008 17:45

zwaar verouderde antivirus programma een popupje geeft dat er iets verwijderd is, als ze uberhaupt al een antivirus programma draaien.

Ik maak vrij regelmatig computers voor mensen schoon en die draaien meestal gewoon veelgebruikte "moderne" antivirus-programma's. IMHO zit het probleem meer bij de (of iig een aantal) AV-fabrikanten. Die verkopen een product maar de belofte die op de doos staat kunnen ze veelal niet waarmaken.

M2M @Klaus_1250 • 25 april 2008 17:59

ik denk dat een deel van het probleem bij de kennis van de gebruiker ligt. Eigenlijk een groot deel van het probleem bij de kennis van de gebruiker ligt. Met een beetje review werk (zeg een uurtje googlen, of bladeren in een willekeurig computerblad) kun je zo zien welke antivirus / antimeuk het beste uit de verf komt. Maar omdat een groot deel van de computergebruikers het gewoon allemaal niet weet, laat staan het interesseert zal de antivirus company met de grootste naamsbekendheid het gewoon winnen van de eventueel betere kleinere bedrijfjes.

Voor de mainstream gebruiker is een virusscanner voor virussen die je mail verwijderen, of je computer deleten (om het in huis tuin en keukentaal bij zijn naam te noemen). Een gebruiker maakt zich echt geen zorgen over botnets, ddos, malware of het versturen van spam. Als het ding het doet, en binnen 5 minuten opgestart is, en er geen rare venstertjes flikkeren dan is het goed. Ook al is die pc misschien verzadigt met botnet clients, spyware, adware (welke weer geblokkeert worden door een popupblocker, zo is de gemiddelde gebruiker dan weer wel) of andere troep.

gelukkig gaat het de goede kant op, de generatie die met deze apparaten op groeit wordt groter, de generatie die deze apparaten ontworpen heeft wordt langzaam oud.

AlexanderB @M2M • 25 april 2008 19:38

goede kant? mn breezah zusjes, en >90% van hun leeftijdsgroep heeft inderdaad geen idee waar ze mee bezig zijn, en de mensen die het ontworpen hebben wel, lijkt mij dat et beter gaat als er meer mensen zijn die weten wat ze doen ipv overal en altijd op ok klikken, en lekker doorspammen (of het internet abo laten afsluiten, omdat de ISP ziet dat er spam word verstuurd..)

Verwijderd @Klaus_1250 • 25 april 2008 19:50

Je vergeet misschien even dat gebruikers vaak een kant en klare pc kopen zoals een packard bell of zoiets. De meest meegeïnstalleerde AV-software werkt maar tijdelijk(trials), en zodra die verlopen werken ze op een gegeven moment een stuk minder effectief. Ook het configureren van de AV vinden sommige mensen zo irri of onduidelijk dat ze de virusscanner liever kwijt dan rijk zijn.
M'n ouders hadden dat spul van Norton meegekregen, maar dat is wel een drama om mee te werken. Zeker als er ook nog die firewall bij in zit. AV-software als dat van Norton moet je een cursus voor hebben gevolgd voordat je die zelf kunt configureren. Op een gegeven moment heb ik er maar Avast op gezet en lekker de simpele Windows Firewall aangezet.
Zelf draai ik sinds kort Nod32, maar daar hoef je niets aan te sleutelen. 't Enige is dat je licentiegeld betaalt, maar op zich valt het bedrag nog mee. Ik betaalde zo'n 10 euro bij surfspot.

Verwijderd @SirNobax • 25 april 2008 17:38

Anyway, een mooie zet, maar echt veel schiet je er op het lange termijn niet mee op

Tuurlijk schieten we er wat mee op. Het doel is niet om botnets en spam onmogelijk te maken, want dat werkt inderdaad niet. Echter het kosten baten plaatje verstoren heeft meer effect. Nu kan iedereen met een beetje poen een botnet opzetten of huren om zo zijn SPAM te versturen. Zo'n botnet kost relatief niets en is redelijk stabiel. Als de bestrijding beter wordt en een botnet meer moeite kost om in stand te houden, dan gaan de kosten daarmee ook omhoog.
Dit heeft op 2 kanten effect:
Botnets worden duurder om te onderhouden.
Er wordt minder spam verstuurd omdat botnets sneller plat gaan.

Dus... Minder botnets en minder inkomsten.

There is hope yet.

blaguy @SirNobax • 25 april 2008 17:37

Het is wel een stap dichter bij het efficient bestrijden van Botnets. Het zal nog wel even duren voordat het allemaal beter geperfectioneerd is enzo, maar het is een begin. Good job Universiteit van Mannheim!!

Collen @blaguy • 27 april 2008 23:43

hmm, alles goed en wel. bedoel ben ook tegen botnets, spam en virusen.
maar wil toch even het volgende melden:

je mag toch niet bij een ander inbreken en het systeem aanpassen.
dat is wel wat de heren van Mannheim hebben gedaan.
dus ze zijn zelf ook illegaal bezig.

tis wel niet wat jullie willen horen, maar zo is de wet wel !!

Verwijderd @Collen • 28 april 2008 10:12

Inderdaad.
Ik denk wel dat men zelf ook al op dat idee gekomen is bij de uni. Is een mooie uitdaging voor de faculteit rechten, lijkt me.

Verwijderd 25 april 2008 17:43

Dat is zo. De hackscene had een sterk botnet gebouwd. Toen waren de "goeden" weer aan zet en zie! Een tooltje dat van binnenuit het botnet ontregelt!
Nog even en ze kunnen het platleggen. . .

Nu zijn de hackers weer aan zet vrees ik. Zonder twijfel vinden ze wel weer iets slims. Waarna...
Duurt even maar zo spelen ze kat en muis.

Mijn hoop is echt dat de onderzoekers en bestrijders een methode vinden die alle ellende buiten de deur houdt,

en dat alle mensen zo slim zijn een goede firewall, malware scanner(s) etc te gebruiken!

Verwijderd @Verwijderd • 25 april 2008 18:58

Hackers zullen het altijd winnen, want het is veel makkelijker om een aanval te organiseren dan te voorkomen. De échte hackers zijn van oudsher uitstekende en intelligente programmeurs. Die zijn zo vindingrijk, dat hun concullega's van de beveiliging alleen maar achter de feiten aan lopen als ze target worden van zo'n botnet. Het zal alleen maar nog verder underground gaan, en misschien wordt het weer meer iets voor de elite in plaats van voor scriptkiddies.

Uiteindelijk is het een voortdurende oorlog tussen experts op het gebied van netwerkterreur, en zal dit zowel ten goede komen voor de beveiliging van de gemiddelde systemen als voor de experts die zich verhuren om dit aan te pakken. Veel hackers zijn volgens mij ook werkzaam bij het soort bedrijven dat op netwerkgebied opereert.

Malwarepraktijken lukken omdat hackers intelligent en creatief zijn, en de gemiddelde internetgebruiker een simpele klikridder is.

Voor we weer de zinloze discussie krijgen over hackers vs. crackers vs. scriptkiddies: hackers zijn programmeurs / network engineers. Tot op zekere hoogte heb ik best een hoge pet op van die lui. Niet voor hun motieven, wél omdat ze het kunnen.

OddesE @Verwijderd • 25 april 2008 19:25

De échte hackers

Noem er één?

Ik haat de term hackers en om ze nu échte hackers te gaan noemen is al helemaal teveel eer. Komop, zo geheimzinnig is het allemaal niet hoor. Een botnet is zo gebouwd. Vind een goede zero-day exploit, krijg het aan de praat en bak er vervolgens een (p2p) protocollotje omheen. iedereen onder Windows is admin dus als je eenmaal binnen bent kun je doen wat je wilt.

Alsof je een berg goud in een lullig oud schuurtje opslaat en steeds als iemand weer een andere manier vindt om binnen te komen ('hé dit deurtje zit ook niet op slot') ze de hemel in prijzen en zeggen dat ze o zo'n goede hackers zijn... komop.

Voor we weer de zinloze discussie krijgen over hackers vs. crackers vs. scriptkiddies

Inderdaad een zinloze discussie, het is namelijk allemaal van hetzelfde laken een pak, alleen met verschillende skil levels. Als je echt zo goed bent, waarom zou je dan steeds opnieuw de (inmiddels allang bekende) vele nadelen van een hopeloos verouderd protocol blijven exploiteren?...

POP/SMTP is niet veilig, maar we blijven het gebruiken he? FTP is niet veilig, HTTP niet, basic authentication (voor HTTP) is niet veilig. Alle info op disk is niet versleuteld.... Iedereen logt in als admin... Het security model van zowel MacOS als Linux als Windows is hopeloos verouderd en gaat er vanuit dat je beschermd moet worden tegen andere gebruikers, maar dat alle software die je draait wél te vertrouwen is etc etc. Sorry, maar als je van die puinzooi misbruik weet te maken ben je ook weer niet zo knap. Echt respect heb ik voor mensen als Ron Rivest, Adi Shamir, en Leonard Adleman die het RSA public key encryption algoritme hebben uitgedacht. Dát zijn de echte slimmeriken en die noem je geen hackers maar onderzoekers!

Verwijderd @OddesE • 25 april 2008 20:19

Het is exact hetzelfde soort volk qua kennis, ervaring en potentie. Het enige wat die mensen anders maakt dan hackers is hun motief.

Ik zie het gewoon als engineers die de boel van de andere kant benaderen. Elke zichzelf respecterende programmeur van beveiligingssoftware zou zichzelf zonder enige moeite een hacker moeten kunnen noemen.

Ik houd het dus bij een programmeur die goed op de hoogte is van technieken, protocollen, etc. Om een goed en groot botnet op te zetten is iets eenvoudiger dan het voorkomen van aanvallen op je spul. Dat is ook de enige reden waarom het gewoon werkt. Het is vechten tegen de bierkaai.

Overigens juich ik het soort initiatieven uit deze nieuwspost wel toe. Ik zie echter tegelijkertijd in dat het weinig zinvol is zolang de gemiddelde internetgebruiker op zo'n slecht beveiligde doos zit, en er ook nog eens weinig van begrijpt.

Uiteindelijk zijn deze onderzoekers maar ook de oorspronkelijke hackers de pioniers die ervoor zorgen dat het internet een stuk veiliger wordt. Er zijn nu in elk geval al genioeg mogelijkheden om de boel goed te beveiligen. Elk van de protocollen die je noemt is er ook in de beveiligde smaak verkrijgbaar: gewoon tunnelen.

Dat het klootjesvolk daar niets van snapt en niets mee kan is een ander ding. Dat moet volgen uit dit soort onderzoeken. Er moet gekeken worden hoe je op een nette manier botnets kunt voorkomen. De meeste nodes zijn toch echt gewoon eigendom van die mensen die niet worden gehinderd door enige vorm van kennis.

En dat bedoelde ik dus. Ik heb meer respect voor die mensen met kennis (ongeacht of ze die misbruiken of niet) dan voor de gemiddelde mens. Dat blijkt vast wel uit deze post. PC's en "het internet" zijn onveilig omdat de meeste mensen die het gebruiken er niet veel van kunnen. Die paar procent die het wel kan, beheerst wat er gebeurt. Niet altijd op de mooiste manier, maar ze zorgen wel voor vooruitgang. En toch weet je dat uiteindelijk nog steeds de gemiddelde mens er nooit iets van zal snappen. En ze zijn in de meerderheid, dus zullen botnets altijd ontstaan en voor gedoe zorgen. Het is water naar de zee dragen, en tóch blijven de onderzoekers zich inzetten om de kloof kleiner te maken. Dát vind ik overigens net zo mooi.

Verwijderd @Verwijderd • 25 april 2008 20:02

Het is ook (nog) niet te voorkomen dat er een aanval georganiseerd wordt. Maar je kunt het dus wel beïnvloeden, blijkt nu. En als iedere pc nu gewoon goed beschermd is tegen de simpele takeovers die hackers nu kunnen doen: Want nu kan je gewoon een of andere download/malware verspreiden via p2p, e-mail oid., het slachtoffer installeert de meuk, en merkt vervolgens niet eens dat ie malware zit te installeren.

Andere landen die leverden aan het gesloopte botnet waren Urugay als tweede en Duitsland(!) derde. Urugay kan ik me wat bij voorstellen. Maar Duitsland lijkt me toch wel net als hier, redelijk op de hoogte van de risico's van het Internet, en hoe je je moet beschermen. Ik had eerder een land als Oekraïne of Rusland verwacht.

_Thanatos_ @Verwijderd • 25 april 2008 19:08

Bijna niemand zal bewust een goeie firewall installeren en goed configureren. Er zijn zelfs mensen die de firewall willens en wetens uitzetten "omdat dat toch alleen maar lastig is". En malware scanners worden ook onderschat, een virusscannertje dat bij de PC zat "is toch wel goed genoeg?"

Corrit 25 april 2008 17:36

Als je via deze weg de eigenaar van de computer er attent op kunt maken dat zijn/haar computer deel uitmaakt van een botnet lijkt mij dit de meest effectieve weg.

T-men @Corrit • 25 april 2008 18:06

Lopen we dan niet het risico wat een paar jaar geleden ook speelde toen de virusscanners de "afzender" van een mailtje probeerden te waarschuwen dat hun computer besmet was ?
Elk virus leverde dus ook nog eens een antwoord mailtje op. Naast alle virussen kregen de providers dus ook meteen heel veel mail te verwerken, waardoor het middel bijna erger was dan de kwaal. (nog afgezien van het feit dat de afzender vaak gespooft was)

[Reactie gewijzigd door T-men op 22 juli 2024 22:06]

A4-tje @Corrit • 25 april 2008 17:42

ik denk dat de meeste mensen die onderdeel zijn van een botnet niet eens weten wat dat is of wat je er aan kan doen.
mijn ouders zien een berichtje in het engels -----> delete want ze kennen het niet (goed opgevoed

)

_Thanatos_ @A4-tje • 25 april 2008 19:05

Je wilt niet weten hoeveel mensen een popupje klakkeloos wegklikken, hoe belangrijk en valide die ook is. En dan confronteer je zo iemand ermee, zeggen ze "mja, die melding krijg ik al máánden". En dat terwijl het een melding is die duidelijk en helder aangeeft dat de virusdefinities verouderd zijn. Misschien dat men denkt dat je met wat oudere definities ook wel veilig zit.

AlexanderB @A4-tje • 25 april 2008 19:40

"do you want to update the virus scanner [yes] [no] "
t lijkt me slimmer dat ze ff vragen als ze niet weten wat een venster betekent, en niet altijd maar "klakkeloos" op nee te drukken, want ook updates en de scanner vraagt wel eens om iets.

u_nix_we_all

25 april 2008 17:45

Ik hoop dat dit onderzoek opvolging gaat krijgen maar ben een beetje bang van niet. Uit het artikel blijkt dat er maanden werk gaat zitten in het analyseren van het gebruikte protocol en de encryptie. Maar wie gaat er in de toekomst zoveel resources inzetten ? Er niet een duidelijke partij aan te wijzen die hier commerciëel baat bij heeft. Misschien dat er antivirus makers zijn die de technologie willen adopteren, maar dan zullen ze het gebruiken om hun AV pakket te verbeteren, en dan nog hebben ze er geen direct belang bij om botnets uit te schakelen.

Zsub

@u_nix_we_all • 25 april 2008 18:22

Ho, stop, wacht. Geen partij die commercieel baat bij heeft?!

Volgens dit Ars-technica artikel uit december 2007 bestond zo'n 90 tot 95% van alle mail uit spam. Dat is bést veel. Ik kan me niet voorstellen dat ISP's of mail-providers er geen baat bij zouden hebben om dat percentage ernstig terug te dringen.

Ook veel webhosters zouden er denk ik blij van worden. Als ik zie hoeveel spam er binnenkomt op mijn e-mailadressen (voor een bedrijfje) dan heeft mijn hoster een stuk minder mail (en dus data) te verwerken zonder alle spam. Ik kan me voorstellen dat dat gigantisch scheelt in de kosten.

edit:
Maand 'december' toegevoegd

[Reactie gewijzigd door Zsub op 22 juli 2024 22:06]

_JGC_ @Zsub • 26 april 2008 00:29

Qua dataverkeer en serverbelasting valt het voor een hoster nog wel op te brengen, maar het continu aanpassen van je filters om de nieuwste spamruns te volgen vreet gewoon tijd.

ATS @u_nix_we_all • 25 april 2008 18:21

Bedrijven als Microsoft, Google en Yahoo die grootschalig email service aanbieden hebben belang bij het bestrijden van SPAM, en hebben diepe zakken waarmee dit soort werk gefinancierd zou kunnen worden. Ook grote ISPs hebben dat. Wellicht dat er vanuit die hoek iets te verwachten is. Misschien een soort fonds oprichten waaruit dit soort initiatieven en onderzoek gefinancierd kunnen worden, en waarin bovengenoemde organisaties kunnen doneren?

C-sharp @u_nix_we_all • 25 april 2008 18:16

Geen partij met een commercieel belang? En M$ dan? Het is de reputatie van hun OS dat hier te grabbel wordt gegooid.

Lijkt mij een redelijke kans dat op basis hiervan ooit een patch wordt ingelast in één van de maandelijkse malware-cures. Of een eigen bugfix krijgen.

mstam 26 april 2008 05:49

En op welke besturingssystemen draait dit Storm-botnet?

Eegee @mstam • 26 april 2008 11:35

Ter info: http://en.wikipedia.org/wiki/Storm_botnet

MSalters 25 april 2008 20:17

Ironisch genoeg zijn er teveel partijen die hier belang bij hebben. Als Microsoft betaalt om een botnet neer te halen, dan profiteert Google. Tragedy of the Commons.

et36s 25 april 2008 22:49

Mjah updaten met een nieuwe beveiliging en je bent weer terug bij af?

freedzed6 26 april 2008 02:12

Het Storm botnet is echter zoo 2007 Het is een klein netwerk vergeleken met Srizbi of Mega-D! ahum deze is zelfs 80x zo groot.

Op dit item kan niet meer gereageerd worden.

Onderzoekers strooien zand in motor Storm-botnet

Lees meer

Reacties (44)

Sorteer op:

Weergave: