Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Arbor geeft kijkje onder motorkap van botnets

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 18 oktober 2012 08:03 uur

Internetbeveiliger Arbor Networks houdt zich al jaren bezig met het bestrijden van DDoS-aanvallen. In een zeer recent uitgegeven whitepaper heeft Arbor nu de resultaten gepubliceerd van een diepgaand onderzoek naar de werking van de botnets die worden gebruikt om dergelijke aanvallen uit te voeren.

De whitepaper ‘Anatomy of a Botnet’ laat zich overigens niet gemakkelijk lezen: het vergt een behoorlijke kennis van systemen en hoe systemen met elkaar over internetprotocollen communiceren. Reden voor het onderzoek laat zich raden: het aantal en de intensiteit van DDoS-aanvallen neemt al jaren met tientallen procenten toe. Bovendien wordt de impact van deze aanvallen steeds groter door de toenemende afhankelijkheden van systemen die via het internet met elkaar zijn verbonden.

Sandbox
Het Arbor Security Engineering and Response Team (ASERT) verzamelde  vanaf 2002 data uit 2,5 miljoen threats. Het team haalt deze data uit twee- tot vijfduizend malware samples die per dag uit antivirussystemen en spam traps van klanten worden gefilterd. De ‘malware’ uit deze threats werd geïsoleerd en vervolgens binnen een ‘sandbox’ – een gesloten ontwikkelomgeving – opnieuw operationeel gemaakt. Met deze methode kon ASERT een blauwdruk maken van de meest gebruikte soort botnets in DDoS-aanvallen.

YoYoDDos
In ‘Anatomy of a Botnet’ richt ASERT zich vooral op YoYoDDos: een redelijk nieuwe familie van trojans die een achterdeurtje installeren, waarna geïnfecteerde systemen via de botnet verbinding leggen met een control server. De eerste YoYoDDos-variant werd in mei 2010 ontdekt in de sandbox-omgeving van Arbor. Sinds die tijd heeft het bedrijf meer dan driehonderd varianten ontdekt van deze soort. De soort is te herkennen aan het feit dat de code van YoYoDDos geen ‘packer’ gebruikt: programmaatjes die de executable in een andere vorm ‘verbergen’.

De executable van YoYoDDos-malware is feitelijk niet meer dan een stukje machinecode. De bot kopieert deze executable-code in de C:\Windows\System32\- directory en geeft zichzelf dan een andere naam, beginnend met een A en gevolgd door acht willekeurige karakters. Het is het begin van een proces waarin de bot zich voortdurend kopieert en originelen wist om zichzelf zo te verbergen in systemen. Het installatieproces stopt als de bot verbinding legt met de controlserver die via de bots een HTTP-flood command kunnen distribueren.

‘Anatomy of a Botnet’ geeft een aardig inzicht in de werking van malware en botnets. Het rapport is gratis te downloaden.

Nog geen reacties

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.