Schoolvoorbeeld van het snel platleggen van een botnet

13 november 2009

“Om een botnet uit de lucht te halen, moet iemand het initiatief nemen voor een gecombineerde inspanning van ISP’s, registries en registrars. We wilden nu eens niet een passieve rol spelen en hebben dat initiatief dus zelf genomen”, verklaart Atif Mushtaq van FireEye de opmerkelijke actie. De inspanningen van het bedrijf hebben in elk geval tot nu toe gewerkt. Ozdok stuurde deze week geen spam meer uit.

Ozdok was tot vorige week goed voor ruim 4 procent van alle spam die wereldwijd wordt verstuurd. Dat komt neer op zo’n zes miljard berichten per dag. In zijn hoogtijdagen, begin 2008, was Ozdok zelfs goed voor een derde van alle spamberichten wereldwijd. Momenteel is Grum overigens het actiefste botnet met een distributie van 23 procent van alle spam ter wereld.

In een notendop werkt een botnet als volgt. Geïnfecteerde systemen, zogeheten zombies, zijn in een netwerk verbonden. De beheerder, de bot-herder, communiceert niet rechtstreeks met de zombies, maar via command and control-servers. Een groot botnet als Ozdok werkt met diverse CnC-servers, die vaak in verschillende landen bij verschillende ISP’s zijn geplaatst, elk op een eigen domein. Dat werkt als een buffer als een van de servers afgesloten zou worden door een ISP. Binnen enkele uren worden de zombies van de afgesloten CnC-servers overgezet naar de andere servers. Voor FireEye was het daarom van groot belang dat heel snel gewerkt zou worden. “Zo snel dat de bot-herders ons niet zouden kunnen bijhouden”, stelt Mushtaq.

Ozdok/Mega-d beschikte over een geavanceerd terugvalmechanisme dat in werking zou treden zodra een CnC-server uit de lucht gehaald werd. De makers van het botnet hadden duidelijk geleerd van de afsluiting van ISP McColo vorig jaar. Het mechanisme van Ozdok bestond uit een lijst domeinnamen waarnaar CnC-servers zich konden verplaatsen, het gebruik van hard-coded DNS-servers en als dat allemaal niet werken zou, waren er nog de algoritmes voor het ‘random’ genereren van domeinen waarnaar alsnog verplaatst kon worden.

Voordat FireEye daadwerkelijk aan de slag kon gaan, moest het zich verzekeren van de medewerking van een groot aantal ISP’s waarbij CnC-servers waren ondergebracht en van autoriteiten op het gebied van domeinnaamregistratie. Die medewerking kon het bedrijf alleen krijgen als het het bestaan en de wandaden van het botnet waterdicht kon aantonen. Het pakket bewijzen bevatte actuele malware van Ozdok en informatie in vorm van pcaps: packet captures die bestaan uit API’s voor het loggen van netwerkverkeer. FireEye werkte met een team dat in verschillende richtingen tegelijk aan de slag ging. Doel was de bot-herders voor te blijven zodat die niet van hun terugvalmechanismen konden profiteren. Dat deed FireEye in vier stappen:

  • Stap 1. Van de negen Command and Control-servers (CnC-servers) van Ozdok werden er vijf afgesloten door hun ISP’s. Vier bleven in de lucht. De autoriteiten zijn hierover wel ingelicht en FireEye vertrouwt er maar op dat die de andere ISP’s er ook toe aanzetten de CnC-servers te verwijderen.
  • Stap 2. Alle geregistreerde CnC-domeinen werden in samenwerking met de registratieautoriteiten uit de lucht gehaald. Daarmee is de command and control-keten doorbroken.
  • Stap 3. FireEye liet alle ongebruikte CnC-domeinen van Ozdok registreren. Daarmee kan worden voorkomen dat de bot-herders die konden gebruiken om weer controle te krijgen over het botnet.
  • Stap 4. FireEye liet drie dagen lang nog een serie ongebruikte CnC-domeinen van Ozdok registreren. Ozdok kan namelijk zelf CnC-domeinen ‘at random’ genereren die alsnog door de bot-herders gebruikt zouden kunnen worden.

Alle domeinen die FireEye heeft laten registreren in stap 3 verwijzen nu naar een zogeheten sinkhole server die de beveiliger heeft neergezet. Deze simuleert een CnC-server waardoor alle geïnfecteerde systemen, de zombies van het botnet, daar naartoe worden geleid. Tot nu leverde dat een kwart miljoen IP-adressen op. De eigenaren van de systemen krijgen informatie dat ze geïnfecteerd zijn en hoe ze de infecties ongedaan kunnen maken.
In elk geval enkele dagen na de actie vertoonde Ozdok geen enkele spamactiviteit meer volgens beveiliger Marshal TRACE. Daarmee lijkt de actie geslaagd. FireEye weet echter niet hoe lang het bezig kan blijven de nieuwe CnC-domeinen te volgen en te registreren. En ook is niet duidelijk of en wanneer het botnet zich herstelt.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!