Nieuw fast-flux botnet ontdekt
Fast-flux is een DNS-techniek die er op neer komt dat een groot aantal IP-adressen verbonden is met een enkele domeinnaam. De IP-adressen worden in hoog tempo gewisseld via veranderende DNS-records. Daardoor wordt het moeilijk het botnet te detecteren. Weinig botnets maken hiervan gebruik, terwijl het juist wel een goede bescherming tegen ontdekking biedt. Botnets die het wel gebruikten, waren Storm Worm, Warezov en Avalanche.
Shutterstock
Shutterstock
Hoger niveau
Dat Wibimo van deze techniek gebruik maakt, wijst er volgens Joe Stewart van Dell op dat de auteur ervan op een hoger niveau ontwikkelt dan de gemiddelde botnet-maker. Daarnaast werkt dit botnet geavanceerd met het encryptie-algoritme RC4. Elke boodschap krijgt RC4 zeker 10 keer over zich heen. Meestal volstaan ontwikkelaars met één encryptieronde. Door het 10 keer te doen, wordt cyrpto-analyse van de code moeilijker. Ook dit wijst op een hoog programmeerniveau van de makers, die volgens Stewart zeer waarschijnlijk van Russische afkomst zijn.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee