Onderzoekers kunnen domeinnamen botnets herkennen

Onderzoekers hebben algoritmes ontwikkeld om domeinnamen te herkennen die mogelijk door 'command-and-control'-servers van botnets gebruikt zullen worden. De servers wisselen regelmatig van domein om afsluiting te voorkomen.

Botnets gebruiken technieken als domain fluxing en ip fluxing om te voorkomen dat command-and-control-servers door de autoriteiten worden afgesloten. Deze servers zijn nodig om botnets aan te sturen en de beheerder anoniem te laten werken. De geïnfecteerde computers genereren dagelijks honderden tot duizenden nieuwe domeinnamen, waarvan er eentje tot een handvol door de botnetmeester moet worden geregistreerd om besmette pc's van nieuwe instructies te voorzien. Onderzoekers van de Texas A&M-universiteit ontdekten een manier om de waarschijnlijkheid te bepalen of een domeinnaam voor kwaadaardige doeleinden zal worden ingezet.

Botnets gebruiken verschillende methoden om de nieuwe adressen te genereren. Torpig gebruikt de trending topics op Twitter als startpunt voor zijn algoritme, terwijl Kraken Engelstalige woorden genereert. Om te voorkomen dat een botnet weer in handen van de beheerder valt, moeten antivirusbedrijven alle domeinnamen eerder in handen krijgen dan de botnetbeheerder. Dit is een tijdrovende klus.

De wetenschappers hebben drie algoritmes bedacht die onderscheid kunnen maken tussen gewone en kwaadaardige domeinnamen. Door het patroon en de distributie van karakters in een domeinnaam te analyseren, kan de waarschijnlijkheid worden vastgesteld of de domeinnaam voor kwaadaardige doeleinden zal worden ingezet. Een netwerkbeheerder kan vervolgens de domeinnaam onderzoeken en eventueel offline halen. De onderzoekers ontdekten tijdens proeven een nog onbekend botnet, dat ze Mjuyh doopten.

Medio maart wist Microsoft, samen met de Amerikaanse en Nederlandse politie, de command-and-control-servers van Rustock in beslag te nemen. Door de 'onthoofding' van het botnet is de wereldwijde hoeveelheid spam met een derde afgenomen.

IT-banen

Reacties (23)

sapphire 31 maart 2011 10:25

Heel dom misschien maar kunnen ze niet gewoon een aantal pc's neetzetten. Deze op laten nemen in diverse botnets en dan gewoon bestuderen hoe die computers in de botnets dat doen ?

Kun je verschillende gebruikte manieren bekijken en een algoritme maken die voorspelt hoe de computer dat gaat genereren.

Facer @sapphire • 31 maart 2011 10:43

Dat is "geen" oplossing voor de detectie van de domeinnamen omdat je nog steeds een stap achter loopt. Stel één domein wordt offline gehaald en een nieuw domain wordt gegeneerd door alle bots. Deze bots maken vervolgens contact met de domainnaam waardoor je deze kan onderscheppen. Op dat moment weet je welke domeinnaam je moet blokkeren maar dan kan het nog een tijd duren voordat het domein ook echt offline is gehaald. In de tussentijd ontvangen alle bots al de nieuwe instructies.

kidde @Facer • 31 maart 2011 13:03

Vraag ik me toch af of het niet makkelijker is de IP-adressen te bekijken waar die nieuwe domeinnamen naar wijzen? Of gebruiken ze voor die control/command servers ook geinfecteerde computers?

Rob Coops

Beveiliging

@kidde • 31 maart 2011 13:57

En dat is nu juist het probleem...

Een domein naam wordt aan een IP gehangen, en dus zou je zeggen knal dan gewoon die server uit de lucht. Maar als ik als botnet beheerder een heel klein beetje mijn verstand gebruik draai ik de comand en control server niet op een eigen machine maar op een machine bij een universiteit of een hosting provider waar ik toevallig toegang tot heb weten te krijgen. De echte beheerder weet hier niets van af en als deze machine dood gaat of door de een of andere instantie offline wordt gehaald dan is het simpel weg een kwestie van een domein naam aan een ander IP koppelen en hop ik ben weer terug van weg geweest.

Er is dus heel erg weinig dat je echt kunt doen om botnets neer te halen als je er een onder deel van uitmaakt want gewoon achteraf (als de server een maar commands verstuurt heeft) de server offline halen is simpel weg te laat.

De enige echte oplossing is om de command en control servers te gebruiken om van daar uit de persoon of groep te vinden die die servers aanstuurt. Dan kun je deze mensen uitschakelen en als het een beetje mee zit hun eigen software gebruiken om bijvoorbeeld de slachtoffers te waarschuwen dan wel het botnet op zijn minst van een update te voorzien die het actief proberen verbinding te maken met de command en control server stopt.

Alle andere methode werken simpel weg niet omdat als eigenaar van het botnet je simpel weg een andere server kunt gebruiken. Het si nog veel lastiger als je een p2p botnet hebt waarbij alle bots niet met een command en control server werken maar simpel weg de commands met elkaar delen als ware het een torrent.
Zelfs de eerste seeder hoeft niet de eigenaar te zijn maar kan simpel weg een systeem zijn dan door de eigenaar direct opdracht is gegeven om deze commando's te verspreiden. Om zo'n netwerk uit te schakelen zul je precies zo'n commando moeten vinden en dan het geluk hebben dat je op basis daar van de eigenaar kunt achterhalen. Deze netwerken zijn er al wel maar zijn veel al nog niet heel erg geavanceerd omdat het nog niet nodig is, op het moment dat de gewone netwerken steeds vaker en sneller gepakt worden zullen dit soort netwerken heel veel sneller in complexiteit groeien en nog vele moeilijker worden om aan te pakken.

Uiteindelijk is het heel erg simpel SPAM = $$$ en niet zo'n klein beetje ook de mensen die deze meuk versturen verdienen er letterlijk miljoenen mee. En dus kunnen zij makkelijk honderdduizend euro investeren in de ontwikkeling van een nog veel beter en veel moeilijker aan te pakken botnet dan wat we op dit moment zien. Het is simpel weg een vraag en aanbod verhaal. Er is nog steeds een grote vraag naar SPAM, en dus is er geld genoeg om manieren te vinden dit te versturen.

Als je je af vraagt hoe veel beter zo'n netwerk kan worden kijk voor de grap eens naar het virus dat Amerika en Israël op Iran hebben los gelaten. Een zo complex virus dat het instaat is niet alleen een computer binnen te dringen maar ook de erg zeldzame controller die de centrifuge aan drijft te ontregelen op een manier die erg moeilijk te vinden is tot het te laat is. De antivirus bedrijven die deze code hebben onderzocht zeiden eigenlijk allemaal het zelfde; als alle virussen zo geschreven zouden worden dan hebben wij een hele erg veel groter probleem dan we nu hebben...
Als je er genoeg geld in steekt kun je dus makkelijk een botnet bouwen dan echt niet zo maar neer te halen is door een paar servertjes neer te halen.

dasiro @sapphire • 31 maart 2011 18:51

dat doen ze ook en zulke machines zijn zogenaamde "honeypots". Ze zijn in verschillende gradaties beveiligd en het verkeer dat ze genereren en ontvangen wordt afgeluisterd.

het probleem is dat de botnets tegenwoordig zodanig goed zijn ontwikkeld dat ze heel "normaal" gedrag vertonen en de kunst bestaat er nu in om dat specifieke gedrag van een botnet van écht normaal gedrag te onderscheiden

Xynergy 31 maart 2011 10:37

De werking van botnets is inderdaad redelijk mindblowing, een onzichtbare oorlog op het internet. Een kat-en-muisspel, zeg maar. Ik vind dit wel zeer interessant, goed nieuws dat er nu algoritmes zijn die domeinnamen kunnen inpikken van spammers!

Ach ja, sinds ik Gmail ben beginnen gebruiken zo'n vijf jaar geleden heb ik in totaal 36 spamberichten binnen gekregen. Niet slecht, bij Hotmail kreeg ik net zoveel berichten per dag.

Frankster @Xynergy • 31 maart 2011 10:52

Precies! Ik weet niet hoe Gmail het doet, maar hun spamfilter is fenomenaal. Ik heb zelf ook nog nooit gehad dat een 'echte' mail niet bezorgd werd bij mij. Het kan volgens mij niet zo zijn dat ze alle spam in je map 'Spam' zetten. Ik gebruik namelijk een aantal forwarders waar ik, voordat ik Gmail gebruikte, enkele honderden spamberichten per week op binnen kreeg. Sinds de overstap naar Gmail zit er ongeveer 1 mailtje per week in mijn spamfolder. De rest blokkeren ze dus schijnbaar al in zijn geheel.

mjtdevries @Frankster • 31 maart 2011 11:30

Zo bijzonder is dat niet. Als je alleen de spamhaus blocklists gebruikt dan bereik je dat al grotendeels.

De leveranciers van anti-spam software willen je altijd doen geloven dat blocklists niet werken, maar in de praktijk werken ze geweldig goed. (en bovendien zijn ze heel goedkoop en kosten weinig resources)

Wat me wel blijft verbazen is dat grote bedrijven zoals ups.com geen SPF records aanmaken. Vooral als je bedenkt hoeveel malware probeert te doen alsof ze van die bedrijven af komt.

blorf @Xynergy • 31 maart 2011 11:23

Inderdaad indrukwekkend. Om een computer te besmetten moet je er een trojan heen sluizen die vervolgens toegang weet te krijgen tot bepaalde apparaten en zelf code kan uitvoeren, via internet verbinden met de rest en opdrachten kan ontvangen en uitvoeren. En dat allemaal tot het uiterste gecamoufleerd.
Maar ik denk dat de architectuur van het OS er wel een grote rol bij speelt. Als je op kernel-niveau je binnenkomende en uitgaande verkeer monitort kan je niets ontgaan tenzij je een 'foute' kernel hebt. Maar dan moet het systeem dat monitoren natuurlijk wel toelaten.

djexplo 31 maart 2011 10:26

Veel effectiever zou het afschaffen van de AGP (gratis proefperiode) voor domein namen bij alle webhosting-providers en TLD beheerders zoals ICANN

Add Grace Period (AGP)

A grace period refers to a specified number of calendar days following a gTLD registry operation in which the operation may be reversed and a credit may be issued to a Registrar. The Add Grace Period (AGP) is typically the five-day period following the initial registration of a domain name. AGP appears as a contractual term in some, but not all gTLD registry agreements.

bbob

Netwerk en systeembeheer

@djexplo • 31 maart 2011 10:40

Dat is idd een punt en je zou ook kunnen kijken welke registrars men gebruikt voor deze domeinnamen.

De de gratis proefperiode kun je ook vervangen door toch een klein bedrag 1 dollar voor die preof te rekenen.

soczol

@djexplo • 31 maart 2011 10:53

Die bestaat dan ook al een tijdje niet meer:

ICANN has adopted the AGP Limits Policy, following completion of a GNSO policy development process on domain tasting. The adopted policy prohibits registry operators from offering refunds to ICANN-accredited registrars for domain names deleted during the Add Grace Period (AGP)

[Reactie gewijzigd door soczol op 23 juli 2024 12:44]

Marathir 31 maart 2011 10:29

Zeer netjes.
Je laat dus kijken of een domeinnaam inderdaad "Gezond" is, en anders kan je 'm zelf aanvragen om de controle over te nemen.

Ik vraag me af wanneer de bedrijven die domeinnamen uitgeven gaan beginnen met aanvragen door deze algoritmes te laten controleren.

Alleen een domeinnaam aanvraag 2 of 3 dagen langer laten duren als het mogelijk niet kosher is is al een goede methode lijkt mij.

blouweKip @Marathir • 31 maart 2011 11:08

Alleen een domeinnaam aanvraag 2 of 3 dagen langer laten duren als het mogelijk niet kosher is is al een goede methode lijkt mij.

Daar tref je weer andere mensen mee, spam is (voor de meeste eindgebruikers) niet echt een dermate groot issue dat je zulke maatregelen zou moeten nemen.

Precision @Marathir • 31 maart 2011 11:58

Als er zich een trend voor doet wil ik een domeinnaam binnen de minuut en een site binnen de paar uur online kunnen zetten

Ik betaal enkel voor m'n domeinnaam en dat is < € 10

Gregyor 31 maart 2011 10:26

Dit is een knappe techniek, ik ben alleen bang dat dit niet waterdicht zal zijn. Het kan ook zijn dat als je een domeinnaam wilt hebben die toevallig als 'bot' wordt gezien je er niks mee kan. Helaas is mijn kennis hier te nihil van om mijn gevoel te onderbouwen.

BRAINLESS01 @Gregyor • 31 maart 2011 10:30

Als ik het goed lees wordt altijd nog door een netwerkbeheerder gecontroleerd of het domein echt voor spam misbruikt wordt. In dat geval is er geen probleem, maar als het volledig automatisch wordt zijn false positives inderdaad moeilijk te vermijden.

High-Voltage2 31 maart 2011 13:51

Veel spam zou volgens mij al opgelost zijn door het SMTP protocol, dat al ergens uit de jaren 80 dateert, eens uit te faseren. Werken met een systeem van "trusted" mail exchange servers (zoals ook bij DNS ingevoerd wordt) en ervoor zorgen dat gebruikers een authenticatie moeten doen voor ze gebruik kunnen maken van de server.

Edit:
Uiteraard kunnen botnets voor veel meer ingezet worden dan wat spam te versturen.

[Reactie gewijzigd door High-Voltage2 op 23 juli 2024 12:44]

paulus83 @High-Voltage2 • 31 maart 2011 18:10

Zulke features zijn er al, maar als optionele toevoegingen zoals spf, DomainKeys en dkim. Allemaal methodes om zeker te zijn dat een bericht afkomstig is van wie er beweerd wordt. In het geval van spf door het ip van de versturende server te vergelijken met een lijst van legitieme mail servers in de dns records van het betreffende domein, in het geval van dk/dkim door het bericht inclusief headers te ondertekenen met een publieke sleutel die opvraagbaar is in de dns.
De combinatie daarvan werkt erg goed, je weet bijna zeker dat een bericht dat deze technieken gebruikt legitiem is, omdat het niet gespoofed kan zijn en de verzender altijd is te achterhalen. Helaas gebruikt nog niet iedereen deze technieken, zodat sommige mail nog op de oude manier (blacklists, sleutel woorden etc) moet worden gecontroleerd. Gelukkig wordt het gebruik ervan wel steeds populairder.

Helaas werken veel dns providers nog niet mee; de benodigde dns records hebben een bepaalde syntax die vaak niet wordt gezien als geldig door de controle scripts in dns-beheer pagina's, waardoor die handmatig door je provider erin moeten worden gezet. Dat maakt de stap om het op je eigen domein te gebruiken weer wat groter.

[Reactie gewijzigd door paulus83 op 23 juli 2024 12:44]

JDVB 31 maart 2011 12:52

De vraag is nu hoelang het duurt voor het spamniveau weer terug is op het oude niveau.
Wanneer wordt het botnet opnieuw geactiveerd?

Firelock 31 maart 2011 10:21

Ik verbaas me altijd over de werking van deze botnets

Yonni @Firelock • 31 maart 2011 17:12

Mij bekroop het gevoel van The Matrix toen ik het artikel las.

florus 31 maart 2011 14:54

Beetje vroege 1 april grap?
ip fluxing en domain fluxing...

Update (Rapport gelezen):
Ik moet wel zeggen dat ze een behoorlijk stevig rapport hebben geschreven ter onderbouwing.
Al zie ik hier en daar wel wat aanwijzingen dat het nog steeds nep zou kunnen zijn.
Morgen maar even afwachten dan.

[Reactie gewijzigd door florus op 23 juli 2024 12:44]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (23)

Sorteer op:

Weergave: