'Citadel-botnetactie Microsoft trof veel beveiligingsonderzoekers'

Volgens een Zwitserse beveiligingsonderzoeker was de actie van Microsoft en de FBI waarbij 1400 Citadel-botnets werden verstoord vooral een pr-stunt. De actie zou geen impact op Citadel hebben en de inbeslagname van domeinnamen zou veel beveiligingsprojecten hebben getroffen.

Donderdag maakten Microsoft en de FBI bekend veertienhonderd Citadel-botnets 'verstoord' te hebben. Hierbij zouden onder andere 4000 domeinnamen in beslag genomen zijn, die vervolgens naar servers van Microsoft verwijzen. Deze methode wordt sinkholing genoemd en wordt door tal van organisaties gebruikt om informatie over botnets te krijgen en geïnfecteerde zombiesystemen te waarschuwen.

Een van die organisaties is het Zwitserse hobbyproject Abuse.ch, dat de verkregen informatie verstrekt aan de non-profitorganisatie Shadowserver, die op haar beurt meer dan 1500 organisaties en 60 nationale Computer Emergency Response Teams informeert. Abuse.ch claimt nu echter dat meerdere domeinnamen die het gebruikte voor sinkholes, door Microsoft in beslag zijn genomen.

Navraag bij vergelijkbare projecten, doen de beheerder van de site schatten dat zelfs 1000 van de 4000 domeinnamen die Microsoft in beslag heeft genomen al gebruikt werden door beveiligingsonderzoekers voor sinkholing. Dit, terwijl er een Sinkhole Registry is en Microsoft vorig jaar bij een actie tegen ZeuS-botnets ook al enkele beveiligingsprojecten op deze wijze frustreerde.

Bovendien zou Microsoft configuratiebestanden naar geïnfecteerde systemen die onderdeel van het botnet zijn sturen, zonder dat de gebruiker daarvan op de hoogte wordt gesteld. Dit overschrijven van de Citadel-configuratie heeft als voordeel dat de systemen geen verbinding meer maken met de beheerservers van het kwaadaardige botnet en ook sites van antivirus-bedrijven weer kunnen benaderen, maar het aanpassen van de systemen zonder notificatie aan de gebruiker is strafbaar in veel landen. Daarnaast wijst Abuse.ch er op dat de internetciminelen nu waarschijnlijk hun strategie aan gaan passen, wat de bestrijding moeilijker gaat maken.

IT-banen

Reacties (56)

engelbertus 8 juni 2013 12:02

Wanneer MS configuratiebestanden op systemen van personen of bedrijven aanpast, die niet onderdeel uitmaken van hun eigen software. mag dat feitelijk niet.
niet zonder toestemming van de gebruiker.
misschien staat er idd iets in de eula van MS software.

misschien had MS een update moeten maken over deze toestemming, en dan specifiek daarin de situatie van het aanpassen van onderdelen van botnets en virussen met als doel schadelijke systemen te ontmanetelen, ( dus dat ze het niet voor hun eigen, of amerikaanse voordelen) mogen gebruiken.

het is een ilusie dat de VS geen toegang zouden hebben tot alles wat wij doen. overal waar ze bij zouden kunnen komen, daar komen ze heus wel bij, en indien nodig, grijpen ze heus wel in.

het is alleen nog geen dusdanig groot belang de botnets aan te pakken dat dit ook stelselmatig gedaan wordt, het gaat immers nog slechts om civiele problemen.

zodra hetd at niet meer zijn, dan wordt er heus wel ingegrepen, maar in dat geval wordt dat natuurlijk niet naar buiten gebracht.
het is immers geheim, en in veel gevallen eigenlijk verboden.

ze gaan e.e.a. nu dan wel vastleggen in regels, getuioge een ander bericht van vandaag, maar wat verandert er dan feitelijk? dan kunnen ze elkaar nu met regels om de oren slaan, om zo de publieke opinie te kunnen aanspreken, en draagvlak te creeeren voor de illegale acies die ze uitvoeren.

tekuro 8 juni 2013 09:37

"Bovendien zou Microsoft configuratiebestanden naar geïnfecteerde systemen die onderdeel van het botnet sturen"

Of die systemen nu geïnfecteerd zijn of niet, wat mij bezorgd maakt is dat Microsoft de mogelijk heeft om configuratiebestanden naar systemen te sturen.

mystic101 @tekuro • 8 juni 2013 11:06

...wat mij bezorgd maakt is dat Microsoft de mogelijk heeft om configuratiebestanden naar systemen te sturen.

Serieus? In potentie kan Microsoft via de reguliere Winows updates doen wat ze willen zonder dat de gebruiker er ook maar iets van merkt.

SuperDre @tekuro • 8 juni 2013 15:46

tja, jij maakt je zorgen om ms die dit doet? ik maak me meer zorgen dat so called onderzoekers dit doen zonder enige gerechtelijke tussenkomst, waarbij ms dit pas doet met gerechtelijke toestemming.

kozue @SuperDre • 8 juni 2013 22:29

Gerechtelijke toestemming *in de VS*. Ik heb niks gelezen over toestemming om Nederlandse systemen te wijzigen.

bomberboy @tekuro • 8 juni 2013 09:44

De trojan gebruikt door het botnet heeft die mogelijkheid waarschijnlijk voorzien. Zodat ze kunnen communiceren met alle bots en die aanpasen wanneer nodig.
MS heeft hier vermoedelijk van diezelfde mogelijkheid (van de gebruikte trojans) gebruik gemaakt om de configuratie zo goed mogelijk terug te zetten zodat, zoals in het artikel omschreven, die pc's weer gewoon naar de website van een antivirusmaker kunnen surfen enz.

Het is dus niet dat MS dat voor iedere willekeurige windows PC zou kunnen.

[Reactie gewijzigd door bomberboy op 24 juli 2024 05:08]

Swerfer @tekuro • 8 juni 2013 09:46

Waarschijnlijk gebruikte Microsoft dezelfde ingang die het botnet had gecreëerd. Immers wisten ze dor onderzoek hoe het botnet werkte, dus hadden ze waarschijnlijk op die manier ook toegang.

Of het netjes is om dit zonder de gebruiker te waarschuwen, daar valt over te discussiëren.

Loller1 @tekuro • 8 juni 2013 09:47

Je maakt je zorgen over configuratiebestanden die worden verstuurd door een bedrijf dat de software waarop het botnet is gericht maakt, via het botnet om datzelfde botnet neer te halen, maar je AV die je hele systeem door 1 fout update, die ook zonder waarschuwen komt, omzeep kan helpen, daar maak je je geen zorgen om?

Mavamaarten @tekuro • 8 juni 2013 10:42

Geinfecteerde systemen luisteren op een bepaalde poort, en voeren de commando's uit die ze op die poort krijgen toegestuurd. Dit is zodat de kwaadwillende opdrachten naar zijn slaves kan sturen. Microsoft kan niet zomaar naar elke PC commando's sturen, maar wel naar de geinfecteerde PC's. Microsoft stuurt een commando dat in principe het virus onschadelijk maakt. Netjes toch? (Maar niet helemaal legaal dus, want men mag geen wijzigingen aan andermans PC toebrengen zonder waarschuwing of toestemming)

LopendeVogel @tekuro • 8 juni 2013 11:28

Dat gebeurt al sinds windows 95 genaamd: windows update.
Hoef je niet bang voor te zijn heur.

Bacchus @LopendeVogel • 8 juni 2013 12:01

Mwah, WU bestaat inderdaad al wel zo lang maar tot ~'99 was het puur "pull" en in eerste instantie ook vooral van onzin-addons. Pas met WinME werden automatische updates uitgerold.

IJzerlijm 8 juni 2013 09:36

"Daarnaast wijst Abuse.ch er op dat de internetciminelen nu waarschijnlijk hun strategie aan gaan passen, wat de bestrijding moeilijker gaat maken."

Dat kan je bij alles wat gedaan wordt wel zeggen, niets doen zou dus de beste optie zijn ? Klinkt als een blogger die gepikeerd is dat Microsoft het durft iets te doen zonder hem eerst raad te plegen.

TheGhostInc @IJzerlijm • 8 juni 2013 13:58

Het is nog veel erger, ze houden nu juist de hand boven al die scriptkiddies die standaard scriptjes gebruiken om machines over te nemen.

Als we alleen nog maar internetcriminelen actief hadden dan kon de politie/opsporing zich daarop richten. Nu hebben we (alsof het rellen zijn) nog een heleboel meelopers die alleen de problemen groter maken dan ze zijn. Schop de meelopers eruit en dan hoef je ook niet bang te zijn dat een DoS van een 14-jarige komt die het niet eens met de kleur van de website van een bedrijf (en de rel die daarna ontstaat als je die oppakt).

Webdoc 8 juni 2013 10:01

"Daarnaast wijst Abuse.ch er op dat de internetciminelen nu waarschijnlijk hun strategie aan gaan passen, wat de bestrijding moeilijker gaat maken. "

Mja, lijkt me nogal wiedes. Als dit een probleem is dan zou je ook geen spam-filtering mogen proberen want ja, dan gaan de spammers hun emails anders formateren.....

Het blijft een kat-en-muis spel, en botnets uit de lucht halen, ook al is het maar tijdelijk, is een goed idee. Het zou uiteraard beter zijn als MS software in hun Windows zou doen die kan detecteren dat er botnet-achtige activiteiten vanaf een computer plaats vinden, maar dat zal vermoedelijk niet zo simpel zijn.

the-dark-force @Webdoc • 8 juni 2013 12:19

het is een afweging, gebruiksvriendelijkheid v.s. beveiliging.
bijv. online browsen. wil je dat veiliger doen dan mag je bijna alle functies van je browser uitzetten (flash, java en andere plug-ins)

daarnaast maakt malware dankbaar gebruik van bijv. upnp in de firewall. uitzetten betekend alle poorten handmatig forwarden enz enz.

ook gebruiken zoveel mensen windows voor een ander doel dat er geen bepaald 'normaal' profiel is en zou dat er wel zijn dan moet je niet vergeten dat er al werkende proof of concepts waren waarbij de malware het hele os virtualiseerde en dus alle informatie kon vervalsen.

ach of ik nu word afgeluisterd door de nsa of een black hat uiteindelijk ben ik tot nu toe alleen nog maar bestolen door de nl overheid...

tspawn 8 juni 2013 09:42

Lijkt mij toch dat de FBI hierin het laatste woord heeft en niet Microsoft.

Wampa1 8 juni 2013 09:50

Typisch geval van actie - reactie. Toch ben ik blij dat er flink actie wordt ondernomen tegen die botnets en dan maar liever van een softwaregigant i.c.m. FBI dan overheden en ICT.

quarintus 8 juni 2013 09:56

Even vanuit een ander perspectief. Leuk voor al die beveiligingsonderzoekers, en bedrijven die er gebruik van maakte en allemaal belangrijke informatie wisten te winnen. Maar de "gewone consument" is zonder het te weten gewoon lekker deel van een botnet...

Ik snap de frustratie, maar kwam dit niet ten goede voor de meeste mensen?

Daarnaast hadden verschillende organisaties meerdere domein namen... meerdere domein namen. En iedere onderzoeker had er dan een paar? Nu heeft een bedrijf 4000 domein namen. Daar zou toch veel meer informatie over gewonnen moeten kunnen worden?

Eerlijk, ik heb hier dan niet zo veel verstand van hoor, maar als er uit kwam: FBI en Microsoft wisten jaren lang van botnet en schakelde het niet uit, dan was het ook niet goed.

Verwijderd 8 juni 2013 17:44

75%(geslaagd dus) op het eindrapport is niet slecht zou ik zeggen al zouden ze met dat register wel rekening kunnen houden.

Ik zie ergens wel in waarom MS en FBI geen rekening hebben gehouden met dat register, minder eerlijke 'onderzoekers' kunnen hierlangs ook wel eens proberen om door de mazen van het net te glippen, het is de tactiek van 'shoot first, ask questions 'and forgiveness' later.

Ik begrijp ook wel de ware onderzoekers in dit verhaal die hun werk in rook zien opgaan, wat nooit fijn is. Maar de gebruiker wordt er uiteindelijk beter van, in die zin dat ze niet meer fungeren in criminele netwerken als slachtoffer.

Persoonlijk, en ik zie dit vaak genoeg, denk ik dat de kennis van de computergebruikers moet bijgeschaafd worden, dit zou al een heel suces zijn. Vele leren of hebben via trail-error en intuitie geleerd om met een computer te werken thuis/school/werk, maar er zou meer vorming en campagne moeten zijn school/avond onderwijs en op TV, op straat en in de krant. Niet zozeer 'kent u Windows al?' of 'heb je een antivirus?' maar 'je antivirus werk hij nog?', 'controleert U uw antivirus/OS voor updates iedere paar dagen? ' enzov. Genoeg mensen denken te vaak' ik heb het en nu ben ik altijd goed beschermd'

onetime @Verwijderd • 9 juni 2013 14:40

leuk gedacht. Helaas weten de meeste gewone gebruikers niet voldoende en zijn ze niet in staat de gevaren te beoordelen. [dream] computer rijbewijs [/dream]

ebia 8 juni 2013 10:29

Wat er ook gebeurt in beveiligingsland, zolang men de geïnfecteerde bots niet aanpakt, is en blijft het dweilen met de kraan open. Want laten we wel wezen, één botnet down zijn twee botnetten up. Zolang die clients (bots) niet hun zaakjes beter beveiligen worden ze binnen de kortste keren weer geïnfecteerd door een nieuwe trojan en begint alles weer van voren af aan.

Martinspire @ebia • 8 juni 2013 10:53

Mja ik vraag me dan ook nog wel af wat voor systemen dit precies zijn. Zijn dit oude installaties met Windows 98 of XP? Of zijn dit toch al moderne installaties die via malware door de gebruiker zijn geïnfecteerd.

ebia @Martinspire • 8 juni 2013 11:58

Het gros van dit soort infecties wordt mogelijk gemaakt door kwetsbaarheden in oude versies van het OS zelf, de gebruikte browser en natuurlijk de bekende plug-ins als Acrobat, Java, Flash, etc. Dat hoeft niet perse te gaan om vooroorlogse versies, maar gewoon één versie achterlopen kan al een groot gat veroorzaken. Zero-days komen natuurlijk ook voor, maar in mindere mate.

Je kunt dus stellen dat dit vrijwel allemaal client-side infecties zijn. Dat maakt het redelijk lastig om goed tegen te beveiligen, want zo'n client staat in direct contact met zijn besmetter en gaat dus ongezien en ongewild langs allerhande overige (netwerk)beschermingsmaatregelen, als firewalls, NAT's, IDS's, etc. De oplossing valt of staat met het beter beveiligen van de client.

Vaak is dat vrij gemakkelijk te doen, maar voor de gemiddelde gebruiker is dat vaak teveel gevraagd. Ik denk dat fabrikanten hier beter op in moeten spelen, maar dat is een utopie, want conflict of interest. Standaard zou ik bijvoorbeeld nooit Java als plug-in in mijn browser aanzetten, maar Oracle (Java) zelf heeft daar natuurlijk geen belang bij. Ga je Flash weren als browserlevernacier, dan gaan gebruikers bij je weg om dat Flash niet werkt. Etc.

the-dark-force @ebia • 8 juni 2013 12:21

vergeet niet de cracked windows versies incl. gratis backdoor. zou me niets verbazen als de helft van de slachoffers te beroerd was om een paar euro te betalen voor windows

huntedjohan @Verwijderd • 8 juni 2013 18:03

MS het niet gunnen en wel hun software willen gebruiken is hypocriet. dan lekker Linux ofzo. leuk smoesje maar zo zwak als t maar kan. dat is hetzelfde met games downloaden. ik ben arme student en ik kan geen 40€ uitgeven voor een spel, dus download ik het gratis maar. als ik een bmw M5 wil rijden maar het niet kan betalen ga ik m toch ook niet stelen?

xandie 8 juni 2013 09:26

De beste bedoelingen kunnen het grootste kwaad tot gevolg hebben.
Microsoft heeft dit waarschijnlijk gedaan als PR-stunt en ook om de mensen te helpen. Maar als ik het goed begrijp zorgt dit ervoor dat veel beveiligingsonderzoekers nu veel verlies lijden. En dat de internetcriminelen hun strategie gaan aanpassen, waardoor bestrijding moeilijker wordt.

Loller1 @xandie • 8 juni 2013 09:43

Ik vraag me af in hoeverre je dit nog een PR-stunt kan noemen, dit is gewoon een poging van Microsoft én de FBI (ik heb de FBI nog niet zoveel PR-stunts zien doen) om het platform veiliger te maken en de burgers te beschermen tegen criminaliteit (dat is tenslotte de reden dat er zoiets bestaat als de FBI).

Xanaroth @Loller1 • 8 juni 2013 12:49

Het is geen poging veiligheid te verbeteren. Als ze de veiligheid echt wouden verbeteren, hadden ze niks gedaan. Immers, niks doen zorgt ervoor dat je de mensen achter botnets kunt opsporen. Nu passen de mensen achter botnets zich aan en moeten alle organisaties en onderzoekers weer vanaf 0 beginnen met het opsporen.

TheGhostInc @Xanaroth • 8 juni 2013 13:53

Immers, niks doen zorgt ervoor dat je de mensen achter botnets kunt opsporen.

Wie moet dit dan opsporen, een opsporingsinstantie... de FBI misschien?

Een groot deel van de botnets draaien op simpele exploits met standaard software, daar zit niemand achter die je wilt pakken. Want leuk, maar 14-jarigen kun je niet zomaar oppakken en de vraag is 'hoe fout' deze 'kinderen' zijn. Ik heb ook 'fikkie gestookt', maar dat maakt mij niet een pyromaan die in een gesticht moet.

Ik vind het goed dat MS & FBI (en eigenlijk zouden meer partijen daaraan mee moeten doen) af en toe gewoon alle bekende botnets sluiten. Daarmee pak je van de 14-jarigen hun speeltje af en dwing de pro's om opnieuw te beginnen, waarbij de kans weer even groter is dat ze traceerbaar zijn. (Nu kan elke script-kiddie ook het 'meesterbrein' zijn, zijn er maar enkele (technisch nieuwe) botnets actief dan zitten daar dus wel mensen achter die je wilt pakken)

Maar goed, ik zou het ook een goed plan vinden om alle pc's die actief worden in een botnet zo snel mogelijk van het internet te krijgen. Nu zijn er zoveel zombie pc's die al jaren actief blijven en overlast bezorgen...

Ps. ik ben trouwens wel benieuwd wat er gebeurd als dadelijk tablets meer gebruikt gaan worden, want de pc staat steeds vaker uit en een tablet is wat minder geschikt voor dit soort werk, qua power etc. Je trekt zo de batterij leeg als je vol gaat spammen/DoS-en vanaf een mobiel device.

batjes @TheGhostInc • 9 juni 2013 02:32

Die 14 jarige scriptkiddies hebben echt geen toegang tot 'een groot deel van de botnets'.

Swerfer @xandie • 8 juni 2013 09:43

En dat de internetcriminelen hun strategie gaan aanpassen, waardoor bestrijding moeilijker wordt.

Op welke manier je de internetcriminelen ook aanpakt, ze zullen altijd hun strategie aanpassen. Of Microsoft het nu doet op een misschien lompe wijze of dat botnets op andere manieren worden aangepakt, de beheerders van die botnets zullen altijd reageren en hun strategie aanpassen.

Het kat en muis spelletje zal altijd blijven bestaan.

Het zo moeilijk mogelijk maken en op grote schaal aanpakken is misschien de beste manier om zoveel mogelijk schade te beperken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (56)

Sorteer op:

Weergave: